Lunedì è stato il gran giorno: l’Italia, almeno in parte, sembra essersi decisa a fare il gran passo e a digitalizzare le operazioni di comunicazione con la pubblica amministrazione.

Un grande passo avanti, che dovrebbe portare numerosi vantaggi – tra i quali si presuppone ad esempio meno esaurimenti nervosi in coda per ore davanti agli sportelli comunali.

La posta elettronica certificata sarà uno dei veicoli principali di informazioni personali dei cittadini italiani. Merita forse molta più attenzione di quello che si potrebbe pensare.

Il sito ufficiale, così come avviene per tante banche e siti online, diventerà vittima di attacchi di phishing, di falsificazioni sviluppate allo scopo di rubare quanti più dati personali possibili.

Purtroppo, tuttavia, non appena si accede alla pagina web governativa della posta certificata, si può verificare un particolare che ai più potrebbe passare inosservato, ma che – se valutato attentamente – dovrebbe far storcere il naso.

L’argomento dei certificati SSL era già stato affrontato in questo blog in un post precedente, ma merita sicuramente di essere riportato in auge.

Il sito web della posta certificata recita:

Canali di trasmissione sicuri – tutte le connessioni sono realizzate tramite l’impiego di canali sicuri basati sull’utilizzo dei protocolli di trasporto Transport Layer Security (TLS)/Secure Sockets Layer (SSL), che permettano la crittofia dei dati trasmessi in rete.

Soffermiamoci sul: “canali di trasmissione sicuri“: la presenza di un certificato SSL, la presenza del prefisso HTTPS:// invece del classico HTTP:// garantisce all’utente che il traffico che passa dal proprio computer al sito web del governo sia criptato, cioè in altre parole solo l’utente e il sito web possono sapere quali dati sono stati inviati.

Ma chi garantisce all’utente che si sta dialogando con il giusto sito web e non con un sito web contraffatto?

Tecnicamente la presenza di un certificato SSL dovrebbe garantire anche l’identità del sito web. Tuttavia esistono vari tipi di certificati SSL, alcuni dei quali possono essere acquistati anche gratuitamente o ad un prezzo irrisorio e che non garantiscono assolutamente l’identità del titolare del sito web. Essi garantiscono solo che il proprietario del sito web sia effettivamente il “proprietario”.

Salendo poi di livello ci sono i certificati SSL che verificano, piu approfonditamente, l’identità del proprietario, al fine di evitare truffe.

Perché nulla vieta ad un pirata informatico di creare una falsa pagina web simile a quella della posta certificata, applicarci un certificato DV-SSL – il tipo di certificato che non richiede alcuna verifica dell’identità del proprietario – e far vedere agli ignari utenti che il sito web ha il prefisso HTTPS:// e l’immagine del lucchetto. L’utente, verificato questo, si sentirà sicuro e inserirà i propri dati.

Il problema è che i browser non differenziano tra i certificati DV-SSL e i certificati SSL classici che verificano invece l’identità del proprietario del sito web. In tutti i casi l’utente vedrà un prefisso HTTPS:// e l’immagine di un lucchetto.

Per risolvere questo problema, esistono dei tipi di certificati SSL denominati EV-SSL, cioè Extended Validation SSL. Questi certificati non solo garantiscono – come tutti gli altri – la sicurezza delle transazioni, ma garantiscono inoltre il massimo livello di verifica dell’identità del proprietario del sito web.

Questi certificati vengono mostrati in maniera differente dal browser: oltre al solito prefisso HTTPS:// e all’immagine del lucchetto, nei browser che supportano l’EV-SSL – tutti gli ultimi browser – la barra degli indirizzi si colorerà interamente di verde, oppure solo una parte di essa.

L’utente, vedendo questo cambio di colore, potrà essere sicuro dell’identità del sito web e potrà continuare ad inserire i propri dati con ancor più tranquillità.

I certificati EV-SSL permettono di contrastare ancor più il phishing. Sono rimasto molto deluso dal fatto che il sito web della posta certificata, che diventerà uno dei veicoli principali di informazioni personali degli utenti, non abbia deciso di utilizzare un certificato EV-SSL, esponendosi così maggiormente a possibili attacchi di phishing.

Certo, un certificato EV-SSL costa più di un normale certificato SSL, ma la gestione dei dati di 50 milioni di cittadini italiani non merita forse qualche spesa in più?

Se questo articolo fosse poco chiaro perché ho omesso alcuni dettagli tecnici, invito i lettori a leggere questo articolo precedente dove è spiegato in maniera più dettagliata il funzionamento dei certificati SSL.