Cosa fare se un sito è "non sicuro" in Chrome e che significa

Chrome contrassegna i siti sicuri in HTTPS ed i siti non sicuri che non hanno connessione protetta, a cui non si devono inviare password e dati

Per migliorare la sicurezza generale quando si naviga su Internet Google controlla tutti i certificati HTTPS, così da poter sapere chi ha certificato quei siti. Per forzare gli amministratori dei siti web a passare a HTTPS Google contrassegna come "non sicuri" tutti i siti senza cifratura (quindi in HTTP).

Scopriamo insieme cosa significa in Chrome la scritta "Non sicuro" che compare sui vecchi siti o sui siti non aggiornati in HTTP, cosa rischiamo realmente e come dobbiamo comportarci con questi siti.

LEGGI ANCHE: Cosa fare in caso di errore certificato di protezione SSL del sito

Pagine cifrate sul web

Uno dei maggiori problemi di sicurezza di Internet riguarda le pagine web non cifrate, ossia senza nessuna crittografia attiva e senza un certificato che attesti la bontà di questa cifratura. In parole povere significa che tutte le informazioni che passano tra il sito e il nostro PC sono facilmente intercettabili e analizzabili con uno sniffer: un malintenzionato si connette alla nostra stessa rete (magari un Hotspot pubblico) e inizia a catturare pacchetti, così da vedere quali siti visitiamo e quali password inseriamo per accedere ai nostri siti preferiti.

Questo non porta solo problemi di privacy ma è un pericolo per i nostri account: in passato era il metodo preferito per rubare la password di Facebook, visto che l'accesso al famoso sito veniva effettuato su una pagina non cifrata.

Con la spinta di Google non solo i siti in cui si inseriscono password, ma anche siti semplici sono ormai protetti con HTTPS, così da proteggere la connessione ed evitare la scritta Non sicuro su Chrome.

Come funziona la cifratura dei siti

I siti HTTPS crittografano i dati che vengono trasmessi tra il dispositivo e i loro server, proteggendo gli utenti da attacchi informatici. HTTPS offre anche un altro vantaggio, perché nasconde il percorso completo delle pagine web che visitiamo così che nessuno nessuno, nemmeno il nostro fornitore internet, potrà vedere quale pagina stiamo leggendo.

Questi siti non possono certificarsi da "soli", ma necessitano di un certificato rilasciato da una società indipendente specializzata nella certificazione sicura dei siti; una volta ottenuto il certificato SSL essi risulteranno come sicuri su tutti i browser, visto che l'azienda provvederà a verificare sempre l'identità del proprietario del sito (o dell'azienda che lo possiede) prima di rilasciare un certificato.

I certificati "self-made" non vengono infatti considerati come sicuri da Chrome, che mostreranno comunque una finestra d'avviso anche se utilizziamo HTTPS (in questo caso si parla di cifratura non convalidata).

Come riconoscere i siti non sicuri?

Quando si apre un sito che inizia con HTTP, Chrome lo contrassegna con la scritta Non sicuro visibile in alto a sinistra nella barra degli indirizzi.
Sito HTTP

Chrome ci sta dicendo che la connessione non è sicura perché non esiste alcuna crittografia per la connessione al sito. Tutto viene inviato tramite la connessione in testo visibile, il che significa che è vulnerabile allo snooping e alla manomissione.

Se capitiamo su un sito del genere conviene uscire o, se proprio non possiamo evitarlo, evitiamo assolutamente di scrivere informazioni private come password o dati di pagamento in un sito web di questo tipo: il rischio intercettazioni è molto alto.

Un sito Web non crittografato è anche vulnerabile alle manomissioni, infatti qualcuno esperto potrebbe modificare i dati che il sito ci fa visualizzare eseguendo un attacco Man-In-The-Middle.

Come forzare una connessione sicura

Se capitiamo quindi su un sito HTTP non sempre dobbiamo scappare a gambe levate: può ancora essere innocuo e inoffensivo come lo era fino a qualche mese fa, l'importante è solo non inviare al sito dati personali, non fare login e scrivere password. Se possibile modifichiamo personalmente l'indirizzo web e aggiungiamo https al posto di http: se un sito ha un certificato valido verrà caricata la pagina sicura ed eviteremo la pagina non cifrata (che spesso rimane visibile perché indicizzata da Google).

Chi vuole essere certo di navigare solo in siti HTTPS può installare la popolare estensione HTTPS Everywhere sui browser Chrome e Firefox, che forza sempre l'apertura delle pagine protette e aumenta sensibilmente la sicurezza del browser e della connessione.

Conclusioni

La connessione cifrata dei siti web ha reso molto più difficile rubare le credenziali d'accesso e spiare gli utenti all'interno della rete pubblica, ma la sola connessione cifrata non è sufficiente ad impedire eventuali violazioni legate alle richieste DNS (che spesso sono in chiaro, quindi alla portata di tutti) o le violazioni legate alle sostituzioni delle pagine web.

Per andare sul sicuro possiamo aumentare il livello di sicurezza utilizzando sempre una VPN quando siamo connessi ad un Wi-Fi pubblico e, per impedire attacchi informatici, conviene dotarsi di una buon antivirus con modulo di scansione di rete.

Non dimentichiamoci di tenere sempre aggiornato il browser: solo così potremo sempre ottenere l'avviso giusto quando incontriamo un sito non sicuro e avere sempre gli aggiornamenti di sicurezza per le componenti del browser.