opuscolo-https

Dettagli sull'opuscolo: HTTPS everywhere

HTTPS Everywhere

HTTPS everywhere e’ una estensione per vari browser sviluppata dalla EFF per migliorare la sicurezza della propria navigazione.

E’ veramente semplice da installare, e dopo l’installazione non dovrete fare niente: tutto va automaticamente.

A cosa serve

Le comunicazioni che il vostro browser fa con i siti a cui vi collegate possono avvenire in chiaro o in forma cifrata. Le comunicazioni in chiaro possono essere lette facilmente da chiunque condivida la connessione con voi (ad esempio un collega o un familiare), dal vostro provider (fastweb, alice, infostrada…) e naturalmente dalle autorita’ di polizia. Le connessioni cifrate sono molto piu’ sicure (vedi l’appendice in fondo “SSL & Certification Authority” per saperne di piu’)

HTTPS Everywhere cerca di usare comunicazioni cifrate ogni volta che e’ possibile, e supporta moltissimi siti

Installazione

L’estensione e’ presente per firefox e chrome. Se non avete nessuno di questi browser, installateli: non rimpiangerete internet explorer ne’ Safari.

Installare firefox

Instalalre chrome

Firefox

  1. Andate al sito di https everywhere
  2. cliccate su “Install on firefox”
  3. Vi comparira’ in alto, vicino la barra degli indirizzi, una richiesta di conferma, cui dovrete acconsentire.

Firefox va chiuso e riaperto prima che l’estensione abbia effetto.

Google Chrome

  1. Andate al sito di https everywhere
  2. cliccate su “Install in Chrome”
  3. Cliccate su “+ Aggiungi” in alto a destra
  4. Vi comparira’ una richiesta di conferma, cui dovrete acconsentire.

Per chrome, non c’e’ bisogno di chiudere e riaprire: state gia’ usando https everywhere

Appendice: SSL & certification authority

Quando usate una comunicazione cifrata, volete essere sicuri che state parlando proprio con il sito con cui volete parlare, e non con una terza parte.
Ma come si fa a distinguere il legittimo proprietario del sito da una persona che fa finta di esserlo?

I browser utilizzano un metodo di “certificazioni”: ogni sito HTTPS ha un “certificato” di identita’, che puo’ essere firmato da altre aziende, chiamate CA. Dato che chiunque potrebbe fare una CA e firmare cio’ che vuole, si tratta di decidere quali CA sono affidabili e quali no.

I browser in questo sono deludenti: includono praticamente chiunque come CA valida.

Nulla impedisce che una CA firmi un certificato che attesti identita’ false, permettendo ad una terza parte di impersonare un altro sito.
Ad esempio, una forza di polizia potrebbe chiedere a Verisign (una importante CA) un certificato a nome di google.com e poi impersonare google sulla vostra connessione.

Questo attacco non puo’ essere escluso, ed e’ molto difficile evitarlo.

Si tratta comunque di un attacco molto potente e non frequente.

Certificati self-signed

Un certificato self-signed e’ un certificato che non e’ firmato da una CA, oppure e’ firmato da una CA di cui il browser non si fida.

I browser reputano questo una minaccia, presentando la classica schermata di errore in cui chiedono di aggiungere un’eccezione.

In alcuni casi questo e’ un allarme inutile: molti siti si rifiutano di stare sotto il ricatto delle CA e scelgono di firmarsi da se’ il certificato. E’ il caso, ad esempio, di autistici.org , indivia.net e molti altri siti di attivismo.

In altri, questo e’ un reale problema: se vedete un sito “commerciale” (google, facebook, hotmail…) con un messaggio del genere, state effettivamente subendo un tentativo di intercettazione molto grezzo, che infatti il vostro browser nota.

Questo e’ gia’ stato fatto varie volte, anche in Italia; e’ bene quindi non ignorare quell’eccezione in modo automatico, ma sensibilmente al contesto e al sito che state visitando.