Tutti conoscono il protocollo HTTPS e i rischi immediati di non avere un certificato SSL/TSL sul proprio sito web. Fra questi, quelli a più immediato impatto per il proprio business sono:

  • Traffico in chiaro: le informazioni e le transazioni sul tuo sito web sono accessibili a chiunque si ponga in ascolto con opportuni strumenti.
  • Attacchi MITM (Man In The Middle): oltre a carpire il traffico come nel caso precedente, un attaccante può alterare il contenuto dello scambio di informazioni (ad esempio l’IBAN di una fattura).
  • Posizionamento SEO: Google e altri motori di ricerca prediligono da tempo nei risultati delle ricerche i siti dotati di certificato SSL/TLS , scoraggiando la navigazione sui siti che non ne sono dotati con un avviso di rischio all’apertura della pagina.
  • Fiducia dei clienti: quale risultato del punto precedente, i clienti che non vedranno il lucchetto verde nella barra indirizzi del proprio browser preferiranno non acquistare da quei siti.

Non tutti i certificati SSL/TSL sono uguali, essi si distinguono in “livelli di convalida” crescenti: DV (Domain Validation) , OV (Organitazion Validation) ed EV (Extended Validation), a seconda delle informazioni in esso contenute e dei controlli effettuati dall CA (Certification Authority)

Darei mille libri per poter correre veloce come te (William Shakespeare)

Questione di velocità

Confronto handshake (fonte: Dev.To)

Introdurre la crittografia nel traffico di rete, dal punto di vista computazionale, comporta un lavoro extra per criptare e decriptare le in informazioni, aumentando il ritardo nella comunicazione e riducendo la velocità di tale comunicazione. Si potrà obiettare che anche le risorse computazionali nel tempo sono sempre più disponibili e a basso costo, tuttavia perchè sprecare risorse? Con il rilascio del protocollo TLS 1.3 sono state apportate, tra le altre, migliorie nella velocità della fase scambio (handshake), rispetto alla versione precedente

L’incremento del traffico mondiale criptato e risvolti

Dai dati aggiornati costantemente da Google nel suo “Report sulla trasparenza dei siti“, il volume di traffico HTTPS è in forte crescita negli ultimi anni: gli utenti desktop caricano più della metà delle pagine che visualizzano tramite HTTPS e trascorrono due terzi del proprio tempo su pagine HTTPS. Il protocollo HTTPS è meno diffuso sui siti visitati da dispositivo mobile, ma c’è comunque una tendenza all’aumento dell’utilizzo della crittografia anche lì.

Percentuale di pagine caricate tramite HTTPS in Chrome per piattaforma

Per contro, tuttavia, anche i malware circoleranno sempre più in forma crittografata. Secondo i report recenti di Sophos e Cisco al riguardo, attualmente il 25% del traffico generato dai malware è criptato ed inoltre, nel 2020, il 70% delle campagne malware utilizzerà la crittografia per nasconderne i comportamenti malevoli (e ciò potrebbe avvenire non necessariamente con protocolli TLS standard, ma addirittura pesonalizzati).

Una nuova sfida. Gran parte dei sistemi di rilevazione malware fanno ricorso a Machine Learning alla analisi del payload dei pacchetti. Tuttavia, se i dati del payload sono nascosti mediante il ricorso alla crittografia, il rilevamento del traffico di malware crittografato diventa un problema molto più complesso. Pertanto la nuova sfida che si pone innanzi è il rilevamento con elevata precisione di traffico malware criptato, con bassi tassi di falsi positivi e falsi negativi.

Si segnala, infine, tra i progetti di pubblica utilità, quello interessante “Should I Click“, un tool basato sulla Machine Learning in grado di restituire un risultato circa la “bontà” di un url prima di cliccarlo.