Spesso a chi è meno esperto e si trova a dover inserire dei dati personali online, si usa consigliare di verificare l’attendibilità del sito web attraverso la presenza del famoso lucchetto e del prefisso https:// al posto del classico http://.

D’altronde l’utilizzo di Internet per i servizi di pagamento online, di gestione dei propri conti correnti o della propria carta di credito è diventato all’ordine del giorno. Pagamenti delle utenze sul sito delle poste italiane o per mezzo del proprio conto corrente gestito totalmente online sono solo alcuni esempi di come sul web passino ogni ora migliaia e migliaia di dati personali pronti per essere catturati dai pirati informatici.

Il phishing è solo uno dei possibili esempi di un attacco studiato per rubare informazioni e dati personali agli utenti ignari: una falsa pagina web che simula in maniera perfetta la pagina web originale del sito di una banca o di un servizio online di transazioni e l’utente si fida ciecamente, tanto da inserire i propri dati, i quali verranno debitamente utilizzati per scopi tutt’altro che onesti.

Come fare dunque per verificare che la pagina web che si sta andando a visitare sia effettivamente quella che si pensa di star visitando e non una copia costruita ad arte per carpire le informazioni? Il suggerimento che si dà sempre ai meno esperti è di controllare che compaia il famoso lucchetto sulla barra degli indirizzi, indice di pagina protetta e certificata.

Classico esempio di pagina protetta

In effetti la comparsa del prefisso https:// e del lucchetto indicano che su quella pagina è attivo un protocollo di crittografia che permette di inserire i propri dati personali senza preoccuparsi che chi sta nel mezzo possa riuscire a leggere le informazioni, poiché viaggiano all’interno di un canale crittografato. Per utilizzare questo tipo di crittografia c’è bisogno di almeno un certificato SSL. Inoltre, il certificato garantisce – o dovrebbe garantire – che il sito web è affidabile e verificato, non è quindi una pagina web contraffatta.

Questo certificato può essere acquistato oppure generato semplicemente da chiunque. Avendo il duplice scopo di certificare l’attendibilità di un sito web e di attivare la crittografia tra client e server, bisogna guardare a cosa il gestore del server ha bisogno.

Se la necessità è solo quella di crittografare i dati in traffico da e verso il proprio sito web, è possibile generare da sé dei propri certificati. Funzioneranno tranquillamente, ma non saranno certificati attendibili, perché nessuno conosce la fonte di provenienza del certificato. Di conseguenza, andando su un sito web che ha un certificato SSL creato ad hoc dal gestore del server, qualsiasi browser che includa un controllo dei certificati SSL (e tutti i browser attuali lo fanno) mostrerà un errore di certificato non attendibile, perché la fonte del certificato è sconosciuta dalla lista di fonti attendibili che i browser e i sistemi operativi includono.

Viceversa, se la necessità è anche quella di garantire l’attendibilità di un sito web oltre che quella di crittografare i dati, allora è necessario acquistare un certificato SSL da un rivenditore (un certificate provider) conosciuto ed affidabile. L’acquisto, spesso oneroso, di un certificato da uno di questi provider implica che il provider verifichi l’identità del gestore del sito web, attraverso numerosi controlli. Solo dopo aver effettuato questi controlli, il provider rilascerà un certificato SSL che può così garantire sia la crittografia dei dati che l’attendibilità della pagina web. Un browser che arriverà alla pagina web che contiene il certificato SSL firmato da una società attendibile non mostrerà alcun avviso, ma semplicemente l’immagine di un lucchetto e il classico prefisso https://.

Questo breve excursus è servito per spiegare cosa avviene, in parole povere, quando si acquista un certificato SSL e perché, solitamente, la presenza di un certificato SSL dovrebbe garantire non solo che il traffico web è crittografato, ma che la pagina stessa e l’identità del gestore sono state verificate.

La logica conseguenza di tutto ciò nel pensiero comune è: basta verificare che il browser non dia alcun tipo di messaggio e che sia presente il prefisso https:// e l’immagine del lucchetto per essere sicuri che la pagina web sia sicura ed attendibile.

In effetti non è proprio così. Per motivi di necessità differenti, con il tempo i certificate provider hanno deciso di spaziare e di variare le proprie offerte in base alle richieste delle utenze. Acquistare un certificato SSL ha da sempre avuto un costo proibitivo, qualcosa che solo chi aveva veramente necessità di attestare la propria identità sul web poteva acquistare – banche, grandi istituzioni e simili.

Ci sono però anche siti web che vorrebbero poter utilizzare un certificato SSL semplicemente per garantire la crittografia dei dati durante il tragitto client-server, senza però doversene generare uno proprio senza una firma attendibile perché ciò metterebbe in dubbio l’onestà del sito web agli occhi degli utenti.

Per questo motivo con il tempo sono nati i certificati SSL DV (DV SSL certificates), cioè Domain Validated. Cosa significa? Che ad un prezzo modico – anche gratuito, alcune società lo fanno – i certificate provider rilasciano un certificato SSL valido e firmato da loro – quindi attendibile agli occhi di un browser – previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà installato.

In parole povere: il certificate provider manda una e-mail con un codice di conferma all’indirizzo web dell’amministratore del dominio per il quale si va a richiedere il certificato SSL. Il codice dovrà poi essere inserito come verifica che l’utente ha la proprietà del dominio. Effettuato questo semplice controllo, l’utente avrà un certificato SSL valido e funzionante. Non più dunque una verifica dell’identità del richiedente del certificato, ma una semplice verifica della proprietà del dominio web. Rimangono ovviamente disponibili i servizi forniti dai certificate provider di richiedere un certificato SSL valido e verificato, che possa garantire l’identità del gestore del sito web.

Un servizio utile insomma, ma che apre un mare di possibilità anche ai malware e al phishing. Chi crea pagine di phishing non può permettersi un certificato SSL valido e verificato, perché dovrebbe mandare via fax per la verifica della documentazione che non ha. Ma ora può permettersi tranquillamente, ad un prezzo nullo o di poche decine di euro, un DV SSL certificate che garantisce che il gestore del sito web è veramente il gestore del sito web, ma non garantisce chi è il gestore del sito web. E per la registrazione di uno spazio web basta una semplice identità falsa, rubata magari precedentemente a qualcuno sul web.

Agli occhi degli utenti ignari cosa significa tutto ciò? Basti vedere gli ultimi casi di phishing a causa delle Poste italiane: un sito web costruito ad hoc, perfetta replica del sito originale, con l’aggiunta di un certificato SSL valido, senza che il browser avverta di niente – d’altronde il certificato è stato firmato da un provider attendibile. Per un browser al momento non cambia se il certificato è stato rilasciato previa verifica dell’identità o solo del dominio. Al browser basta che il certificato sia stato firmato da una fonte attendibile. Per il programma è valido ed affidabile. E di conseguenza lo diventa anche per l’utente meno esperto, che si trova un sito web perfettamente identico all’originale, un lucchetto ed il prefisso https://, come gli è stato insegnato dovrebbero essere i siti web affidabili.

La patata bollente passa in mano dei soli filtri anti-phishing, che rimangono l’unico avviso disponibile per l’utente medio, il quale in teoria dovrebbe verificare sempre che l’indirizzo web digitato sia quello corretto, ma che in pratica non fa mai.

N.B. Tra i livelli di sicurezza possibili di un certificato SSL, il più alto è L‘Extended Validation SSL (EV SSL certificate), che garantisce il massimo dei controlli e la sicurezza che il gestore del sito web è totalmente affidabile. Le ultime versioni dei browser (es. Mozilla Firefox 3.5, Internet Explorer 8, Safari 4, Opera 10, Google Chrome) riconoscono questi certificati e, oltre a mostrare il lucchetto e ovviamente utilizzare il prefisso https://, colorano la barra dell’indirizzo web di verde (oppure solo una parte di essa, ad esempio in Firefox la parte a sinistra del prefisso). Questo è il massimo grado di sicurezza ed affidabilità dei certificati SSL. Esistono comunque diversi livelli di affidabilità inferiori all’EV SSL – che è chiaramente il più oneroso – e questi non mostrano alcuna barra di colore verde, ma semplicemente il solito lucchetto e il prefisso https://. Tuttavia anche questi tipi di certificati, prima di essere rilasciati, verificano l’identità del richiedente. Gran parte dei siti web e banche utilizzano questo tipo di certificati, che purtroppo all’occhio dell’utente si confondono con i Domain Validated SSL, che non verificano l’identità del richiedente ma solo il fatto che sia proprietario del dominio per cui si va a chiedere il certificato.