di Pierluigi Paganini*
Google ha deciso di attivare il protocollo HTTPS di default per tutti i domini Blogspot legati alla sua piattaforma Blogger.
La misura avrà un enorme impatto sui milioni di utenti della popolare piattaforma di blogging. Dal settembre 2015 Google aveva introdotto il supporto HTTPS per i domini Blogspot come opzionale. Ora l’azienda annuncia l’estensione del protocollo sicuro a ogni dominio Blogspot.
L’adozione della crittografia fornirà maggiore sicurezza agli utenti finali, una scelta condivisa negli ultimi mesi da molti giganti dell’IT, come WhatsApp, Viber e WordPress. Quest’ultima, inoltre, nel mese di aprile ha annunciato una partnership con Let’s Encrypt per offrire supporto HTTPS gratuito agli utenti della sua piattaforma di blogging. Tradotto in numeri, ciò significa che oltre il 26% dei siti web basati sul popolare CMS sarà protetto dal protocollo.
“HTTPS è fondamentale per la sicurezza su Internet – si legge in una nota di Google – protegge l’integrità e la riservatezza dei dati inviati tra i siti Web e i browser dei visitatori. Lo scorso settembre abbiamo iniziato a rilasciare il supporto a HTTPS per i blog sul dominio Blogspot, così da farvelo provare. Oggi raggiungiamo un altro obiettivo: una versione HTTPS per ogni blog con dominio Blogspot. Con questo cambiamento i visitatori possono accedere ad ogni blog su dominio Blogspot attraverso un canale crittografato. Come parte di questo lancio, stiamo rimuovendo l’impostazione “Disponibilità HTTPS”. Anche se non avete attivato l’opzione in precedenza, i vostri blog avranno una versione HTTPS”.
L’adozione dell’HTTPS rende impossibile per gli attaccanti l’intercettazione delle connessioni tra il browser dell’utente e il server web. L’implementazione del protocollo sicuro aiuterà i visitatori a controllare che stanno visitando il sito corretto e che non siano stati reindirizzati a un sito malevolo. Inoltre consente di rilevare se un utente malintenzionato tenta di modificare i dati inviati da Blogger al visitatore.
In ogni caso, la versione HTTP dei blog rimarrà accessibile agli utenti, che potranno usare la nuova impostazione chiamata HTTPS Redirect, che reindirizza le richieste HTTP ad HTTPS. Google ha implementato questa opzione per evitare di costringere i propri utenti a usare il protocollo HTTPS, causando problemi ai blogger.
Alcuni blog su Blogspot, infatti, contengono “contenuto misto”, come immagini e script non compatibili con il protocollo HTTPS. Google intende supportare i suoi blogger nella migrazione, offrendo strumenti e servizi per superare le difficoltà legate al porting di contenuti misti.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef