Sapete tutti cosa sono i certificati SSL di tipo EV? E che sono inutili per garantire la validità di un sito?
Troy Hunt, il creatore di Have I been Pwned, sta portando avanti da tempo quella che possiamo definire una battaglia relativa alla corretta interpretazione dei certificati EV, acronimo che sta per Extended Validation.
Questi certificati possono essere acquistati da chiunque ed hanno come prerogativa il fatto che la verifica dell’identità del proprietario venga effettuata andando a controllare i dati legali dello stesso. Una sorta quindi di verifica estesa (Extended Validation, appunto) che presuppone quindi una maggiore attendibilità.
Sia chiaro, il funzionamento in sé del certificato prodotto poi non cambia: sempre di SSL si tratta e sempre di crittografia applicata a connessioni http si sta parlando. Ed è proprio questo il punto. Quanto illustrato ampiamente da Troy Hunt nel suo lunghissimo post (che è comunque l’ultimo di una serie) vuole evidenziare come la questione sia a monte del tecnicismo: il fatto che i certificati EV vengano venduti come portatori aggiuntivi di sicurezza e affidabilità è sostanzialmente pubblicità ingannevole.
Infatti è stato dimostrato in diverse circostanze (e lo dimostra lo stesso Troy Hunt nel post) come in realtà avere questo tipo di “bollino”, che nella pratica si traduceva nel nome “verde” esteso dell’azienda sulla barra delle applicazioni, non garantisca niente di più rispetto ad un “normale” certificato.
Viene usato il passato apposta poiché è da un pezzo che i browser (tanto dei dispositivi mobile quanto sui PC) non mostrano più il nome. In Chrome la modalità di rappresentazione è stata cambiata nell’agosto del 2019.
Oltre a farsi una cultura quindi sul tema (personalmente ho scoperto molte cose interessanti leggendo la disamina del papà di Have I been Pwned) tutta questa storia dimostra ancora una volta un semplice principio: non deve essere un lucchetto verde o un nome esteso a farci dormire sonni tranquilli, quanto piuttosto, e come sempre, il buon senso.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.