Quando si avvia un negozio online e si progetta un sito web, devono essere valutati tutti gli elementi che possono migliorarne l’usabilità e l’esperienza utente (UX), pertanto HTTPS e SSL devono essere considerati fin dalle prime battute.
Un elemento sempre più sentito da chi acquista online è il poter sapere che i dati delle proprie transazioni, e non solo quelli, sono in buone mani e al sicuro da possibili furti.
Se la vostra esperienza sull’argomento è ancora agli inizi oppure l’attività e-Commerce è appena stata avviata, potreste aver già sentito diverse opinioni sui certificati SSL e sull’HTTPS, e saprete sicuramente che fanno parte di un sistema di sicurezza per la gestione dei dati, ma questo articolo potrà probabilmente aiutarvi a capire meglio come essi funzionano e il motivo per cui investire risorse e tempo per comprenderli e adottarli.
SSL può assomigliare a un acronimo alieno, ma una volta che avrete capito perché il vostro negozio online potrebbe averne necessità, non sarà così necessario comprendere in modo dettagliato cosa significhi realmente. Nella maggior parte dei casi, grazie al proprio hoster, è possibile ottenerne uno in meno di un’ora.
Cerchiamo quindi di approfondire insieme:
In breve vi spieghiamo che cosa è un certificato SSL, perché dovrebbe essere necessario, e come funziona tecnicamente.
SSL è l’acronimo di “Secure Sockets Layer“, è anche chiamato “Transport Layer Security” (TLS). SSL è prima di tutto un protocollo utilizzato per assicurare e proteggere le transazioni, non solo quelle finanziarie, ma anche tra due nodi che devono comunicare attraverso una rete locale o pubblica.
Esso codifica con un algoritmo di cifratura le transazioni, così da rendere lo scambio di informazioni privato ed esclusivo. Infatti ogni messaggio trasmesso deve passare un controllo per l’integrità della crittografia stessa prima che esso venga ritrasmesso. Se il controllo ha un esito negativo (a causa di corruzione dei dati, o qualsiasi tentativo di modificare o di intercettare i dati), i dati crittografati non verranno trasmessi a loro volta.
In realtà utilizziamo il protocollo SSL ogni giorno, quando navighiamo siti web comuni come Facebook, YouTube, e altri negozi e siti online. La crittografia utilizzata impedisce che una persona o un sistema riescano nell’intento di intercettare le trasmissioni di dati più comuni, come le query di ricerca sul vostro motore di ricerca preferito, oppure altre trasmissioni dati molto più rischiose, come quando inseriamo i dati della nostra carta di credito.
Quando si vogliono proteggere le operazioni che avvengono sul proprio sito web, si può richiedere al proprio provider di servizi, di poterne acquistare uno. La crittografia verrà quindi applicata a tutto il sito web, e a tutte le attività che su di esso avvengono. Questo dovrebbe impedire il furto e l’intercettazione dei dati trasmessi server to client e viceversa.
Il certificato SSL acquistato conterrà alcune importanti informazioni di sicurezza che il client può verificare, e che non sono modificabili, come ad esempio:
Sono le informazioni che potete liberamente consultare quando nel browser compare il lucchetto verde, che comprova la presenza di un certificato SSL, potrete cliccarci sopra e farvi un’idea della serietà del sito web o del negozio online.
E’ bene quindi ricordare che ci sono principalmente due modi per sapere se un sito web utilizza il protocollo SSL/TLS:
Considerate tuttavia che il sito web potrebbe utilizzare il protocollo sicuro per tutte le pagine oppure solo in quelle destinate ad un certo tipo di operazioni, come il pagamento e la navigazione all’interno dell’area riservata dell’utente.
Per diversi anni un certificato SSL era utilizzato in Internet solo per alcuni domini o pagine specifiche di un sito web, e in particolare nelle pagine in cui si sarebbero trasmesse delle informazioni sensibili (dati finanziari soprattutto), ma questa tendenza oggi sta cambiando molto rapidamente.
Nel mese di Agosto del 2014 Google ha infatti annunciato che la sicurezza di un sito web, sarebbe stato un ulteriore punto a favore del rank per il suo motore di ricerca.
Ha anche dichiarato che, solo momentaneamente, tale relazione avrebbe avuto un’incidenza relativa ma che in futuro la stessa sarebbe aumentata e non di poco.
Questo si traduce nel fatto che se il sito web è protetto da un certificato SSL/TLS ha una possibilità maggiore di essere trovato con una query su Google. Al contrario verrà penalizzato un sito che pur trattando gli stessi contenuti o prodotti, risulta privo dei certificati di sicurezza.
Uno dei buoni propositi di Google è quello di rendere internet più sicura: va da sé che chi acquista e utilizza un certificato SSL, dichiara implicitamente e pubblicamente la propria identità e non è più un anonimo gestore di un sito web. E ciò rappresenta certamente un fattore di sicurezza aggiuntivo.
Il successivo potenziale di questo cambiamento ha indotto numerosi proprietari di siti web, non solo e-Commerce, a implementare per tutte le pagine il protocollo HTTPS con un certificato SSL.
E anche se di fatto non è un obbligo proteggere l’intero sito web (come segnalato nessuno ci vieta infatti di applicare la protezione solo ad alcune pagine web) il numero di siti full-HTTPS è in rapida ascesa.
Ora siete convinti che sia necessario acquistare un certificato SSL per il vostro sito web? Fosse anche solo per il detto “la sicurezza viene prima di ogni altra cosa”, ma è proprio così?
Non proprio, ad esempio se sul sito web non vengono raccolti dati sensibili degli utenti, oppure se il vostro negozio online utilizza Paypal come gateway per il pagamento, non dovrete conservare alcun dato sensibile, e quindi l’implementazione del protocollo HTTPS rimarrebbe un’opzione.
Ecco spiegato perché il comunicato di Google ha diffuso un certo malcontento, perché in un certo senso ha discriminato l’HTTP rispetto l’HTTPS, senza ad esempio spiegare che il protocollo sicuro necessita di maggiori risorse e consuma più banda, dettaglio questo da non sottovalutare quando ci sono centinaia di migliaia di connessioni contemporanee.
Ricapitolando, ci sono quindi almeno due casi in cui potreste tranquillamente fare a meno del certificato SSL:
Diventa invece consigliabile l’adozione del protocollo HTTPS se il sito è un negozio online, sia per la vostra serenità che per quella dei vostri attuali e futuri clienti e visitatori.
I certificati SSL possono essere acquistati da diversi fornitori specializzati, oppure da chi gestisce il vostro dominio o il vostro web server. Ci sono anche offerte in bundle con l’acquisto del primo dominio, oppure tale opzione è spesso sottoscrivibile e associabile direttamente alla formula di hosting che state già utilizzando.
Prima di acquistarlo però valutate bene le vostra necessità, ovvero se vi occorre un certificato solo per il dominio principale oppure che funzioni anche per tutti i sotto-domini; valutate il certificato con greenbar (con il nome dell’azienda per esteso dopo il lucchetto nella barra del browser), oppure che rilasci una firma da apporre a tutte le pagine del sito per fare capire a chi le visualizza che sono sicure. Infine ci sono anche certificati in bundle con anti-malware che verificano costantemente il codice dell’intero sito web.
I costi varieranno in base alle loro funzionalità e in rapporto alla formula assicurativa offerta dall’autorità emittente (limitata solo al fatto che qualcuno possa riuscire a forzare il tipo di crittografia utilizzato per generare le chiavi del suddetto e rispetto a un danno o un furto realmente subito).
Difficile prevedere ogni tipo di scenario. Potrebbe non accadere nulla come invece potrebbero esserci delle conseguenze molto serie:
E dunque SSL sia!
Cryptolocker è uno degli ultimi virus in circolazione che da quasi un anno rende terribile la vita ai personal computer in ambiente Windows di tutto il mondo.
Di cosa stiamo parlando?
Quando si viene colpiti da questo malware tutti i file personali, documenti ed estensioni conosciute, vengono criptate con chiave segreta e resi quindi inaccessibili all’utente.
Anche rimuovendo il virus i file restano comunque protetti e quindi criptati. L’unico modo di venirne fuori e riottenere l’accesso a questi file “sembrerebbe” il pagamento di un riscatto agli hacker dietro Cryptolocker per ottenere la chiave di decriptazione.
La cosa peggiore è che si hanno solo 72 ore per fare il pagamento, dopodichè i file sarebbero persi per sempre.
Come funziona?
CryptoLocker generalmente si diffonde come allegato di posta elettronica in apparenza lecito e inoffensivo che sembra provenire da istituzioni riconosciute. Un file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione pdf (avvalendosi del fatto che i recenti sistemi Windows non mostrano di default le estensioni dei file).
Al primo avvio, il software si installa nella cartella di default di Windows Documents and Settings (o “Users”, nei sistemi operativi Windows più recenti) con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Successivamente tenta di connettersi a uno dei server di comando e controllo, una volta connesso il server genera una chiave RSA a 1024 o 2048 bit mandando la chiave pubblica al computer infetto. Da questo momento il malware quindi inizia a cripatare i file del disco rigido e delle condivisioni di rete mappate localmente con la chiave pubblica, e salva ogni file cifrato in una chiave di registro. Il processo cifra solo dati con alcune estensioni, tra queste: Microsoft Office, Open document e altri documenti, file di Autocad etc.
Il virus si riconosce perché aggiunge l’estensione “._CRYPT” in fondo all’estensione preesistente dei file che bloccato e poi colloca nella medesima cartella/directory un file “!_READ_ME_!.txt” che spiega come procedere per far avere il “riscatto”.
Il programma quindi informa l’utente di aver cifrato i file e richiede per decifrare i file un pagamento di 300 Dollari o Euro attraverso un voucher anonimo e prepagato (ad esempio MoneyPak o Ukash), o 0.5 Bitcoin.
Una vera e propria estorsione!
Il pagamento deve essere eseguito in 72 o 100 ore, o altrimenti si corre il rischio che la chiave privata viene cancellata definitivamente e “mai nessuno potrà ripristinare i file”.
Anche se CryptoLocker venisse rimosso subito, i file restano criptati in un modo che i ricercatori ed esperti ritengono inviolabile. Molti dicono di non pagare, ma non offrono alcun modo per recuperare i file, altri dicono che pagare sia l’unico modo per recuperare i file se non si disponga di un backup non compromesso.
E se vado oltre le 72 o 100 ore?
Nel novembre 2013, gli operatori di CryptoLocker hanno lanciato un servizio online che promette di decifrare i file senza il programma, e di comprare la chiave di decifratura dopo la decorrenza dei termini. La procedura comprende l’invio di un file criptato al server come campione, e attendere che il sito trovi una corrispondenza, che il sito promette richiedere 24 ore. Una volta trovata la chiave l’utente può comprarla online, se le 72 ore scadono, il costo aumenta a 10 bitcoin (che ad oggi valgono circa poco più di 2100 Euro… Spiccioli!).
Questa è una minaccia emergente “Ransomware”: documenti e file personali sono sotto scacco e i file dell’utente vengono insomma tenuti “in ostaggio” chiedendo una somma di denaro variabile (in questo caso tra 100 e 200 dollari) per il riscatto. Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300 dollari sarebbe molto più semplice che aspettare un decodificatore che arrivi da chissà dove… Sempre se arrivi!
Per sapere almeno quali sono questi file nascosti e criptati da Cryptolocker, si può usare un programma gratuito chiamato Cryptolocker scan tool che trova i file crittografati e li presenta in una lista su un file CSV.
Non riesce a decriptarli, ma almeno è possibile sapere cosa, effettivamente, è sparito dal computer per poter, eventualmente, ripristinare questi file da un backup.
Non è chiaro quanti sistemi siano stati, fino a oggi, infettati con CryptoLocker, ma, secondo le stime, il numero si aggirerebbe sul milione.
Di queste vittime solo l’1,3% delle vittime avrebbe pagato il riscatto con CryptoLocker, mentre gli altri hanno perso i dati per sempre.
Per fortuna per prevenire questo tipo di problemi basta avere un antivirus aggiornato sul PC che dovrebbe bloccare l’entrata del virus prima che possa creare danni.
Infatti l’infezione di Cryptolocker si è potuta diffondere per due motivi. Il primo è che l’utente del computer ha aperto un allegato non sicuro. Il secondo è che il computer non era difeso da adeguati software antivirus ed antimalware.
Ed ecco l’ennesima predica: se dubitate del mittente di un’email, non aprite allegati in essa contenuti. Se un’email contiene allegati sospetti, non li aprite. Se vi viene offerto, tramite email, un guadagno economico, dubitate del suo contenuto.
L’unico modo sicuro quindi per evitare tali inconvenienti è dunque:
– Bloccare l’installazione e l’esecuzione di programmi di cui non è certa la provenienza (allegati posta, da chiavi usb, etc);
– Salvare una copia dei file importanti e delle foto in uno spazio di archiviazione personale o un cloud come Dropbox o Google Drive.
La presenza di un backup sicuro è presupposto fondamentale per l’integrità dei dati non solo di un ufficio, ma anche di un singolo utente che utilizza per scopi personali il proprio computer.
Pensaci!
Commenti recenti