1. Chi siamo
  2. Servizi
  3. Aiuto
  4. Howto
  5. Amici
  6. Donazioni
  7. ||
  8. it
  9. en
  10. es
  11. de
  12. fr
  13. pt
  14. cat
My Account Login

Perché compare un avviso quando vi connettete ai nostri siti via https

Molti nostri utenti sono stupiti e spaventati quando, connettendosi per la prima volta ai nostri siti in modo sicuro, si vedono comparire davanti degli avvisi molto appariscenti (e un po' terrorizzanti). C'è una precisa ragione per cui vedete quegli avvisi e si! è una coseguenza di una scelta precisa da parte nostra - una scelta che ora cercheremo di spiegarvi.

Come funzionano la cifratura di https e la "chain of trust"

Quando vi connettete ad un sito tramite https, il sito offre al vostro browser il proprio certificato SSL. Questo certificato viene poi usato per cifrare la comunicazione tra voi e il sito stesso, e per verificarne l'identità. Per compiere questa verifica il browser controlla che il certificato SSL sia stato firmato da una terza parte, l'autorita' di certificazione (CA). L'assunzione implicita che viene fatta è che sia il webmaster che l'utente si possano fidare di questa autorità. La CA, dal canto suo, deve verificare e garantire l'identità del gestore del sito web.

Dato che si cerca di rendere l'esperienza degli utenti il più semplice e intuitiva possibile, chi crea il vostro browser ha deciso di fidarsi in vostra vece di un certo numero ( un numero grande) di CA. Di conseguenza, se il sito che visitate vi offre un certificato firmato da una CA "fidata", il vostro browser vi mostrera' la pagina senza avvisi, e anzi mostrerà il lucchetto verde nella barra degli indirizzi. Al contrario, se il certificato è scaduto, non valido o semplicemente non è firmato da una delle CA di cui sopra, il browser blocca la connessione mostrando un avviso di sicurezza. La ragione per cui vedete questo avviso connettendovi a questa pagina via https è che noi abbiamo scelto coscientemente di NON usare una CA commerciale per firmare i nostri certificati SSL, e di usare una nostra CA per firmare tutti i nostri certificati

Il perché di questa scelta

Come detto prima, quando accettate l'autorità di una CA sostanzialmente le delegate il controllo della sicurezza e della riservatezza delle vostre comunicazioni con un sito. Abbiamo valutato che sarebbe piuttosto bizzarro mettere il rapporto di fiducia tra noi ed i nostri utenti nelle mani di una corporation il cui solo fine è il profitto. Corporation che sono anche ben felici di collaberare con governi e servizi segreti. Per esempio, il vostro governo potrebbe indurre una CA a collaborare con i propri servizi segreti, e a firmare certificati per i nostri siti consegnandoli poi ai servizi stessi. Le forze repressive potrebbero a questo punto deviare tutto il vostro traffico verso i nostri siti (la vostra posta, il vostro blog, e così via) e intercettarlo senza che il vostro browser vi avvisi di qualsiasi problema col certificato SSL fornitovi. Come l'attualità sta dimostrando, le corporation si piegano a collaborare con i governi ben al di là degli obblighi di legge - insomma la nostra scelta ci appare sempre più corretta.

Non si tratta di pure speculazioni: i produttori di browser (sia quelli proprietari che quelli liberi come Firefox) hanno deciso di fidarsi (al solito, in vece vostra) di centinaia di CA, come ha ben mostrato uno studio della Electronic Frotier Foundation. È con frequenza purtroppo piuttosto alta che si leggono notizie di CA compromesse o malevole. I due casi più clamorosi sono probabilmente quelli della compromissione totale di Diginotar, una CA olandese, e la violazione della branca italiana di Comodo. In entrambi i casi, chi ha violato la CA non ha esitato a firmarsi certificati per i maggiori provider di webmail, e ad usarli poi in attacchi man-in-the-middle contro attivisti politici in Iran.

Come liberarsi degli avvisi, e stabilire correttamente il rapporto di fiducia

Per liberarvi dallo spiacevole avviso che compare quando vi connettete in modo sicuro ai nostri siti dovete semplicemente installare il certificato SSL di radice della nostra CA nel vostro browser, e se possibile nel vostro sistema operativo. Questa operazione è completamente innocua e non cambierà il comportamento del vostro sistema - o la vostra navigazione su internet, se non eliminando suddetti avvisi dai nostri siti, per i quali vedrete a questo punto l'usuale, rassicurante lucchetto nella barra degli indirizzi che vi garantisce la sicurezza della comunicazione.

Il momento in cui decidete di installare la nostra CA sul vostro computer state implicitamente fidandovi che questo certificato sia valido. Oggi esistono metodi di verifica abbastanza rigorosi che vi permettono di controllare il certificato prima di installarlo. Tuttavia in tutte le procedure che vi proponiamo è sottinteso un modello "trust on first use" - in sostanza vi chiediamo di fidarvi della connessione ad A/I una sola volta, al primo uso appunto, un momento in cui non siete materialmente in grado di verificare che la vostra connessione non venga intercettata. Tuttavia, una volta che abbiate scaricato e installato il certificato, la relazione di fiducia è stabilita in modo corretto. Se volete poi essere certi che nessuno usi un certificato "fidato" per intercettare le vostre comunicazioni, vi suggeriamo, di utilizzare plugin come Certificate Patrol per tenere sotto controllo eventuali modifiche sospette. Questi pochi passaggi vi garantiranno un livello di sicurezza che non saremmo stati in grado di garantirvi in altro modo.