In un precedente articolo dedicato ad HTTPS, si era parlato della campagna lanciata da Google a favore della variante più sicura del protocollo HTTP, dei progressi ottenuti da Mountain View negli ultimi quattro anni e dei vantaggi derivanti dall’utilizzo di certificati SSL.
Il tasso d’adozione, grazie al ruolo centrale ricoperto dalla compagnia sul Web (il browser proprietario detiene il 55-60% del mercato), è cresciuto costantemente nel corso dei trimestri arrivando a percentuali molto elevate, come si deduce ad esempio dal seguente grafico dedicato alle pagine HTTPS caricate da Chrome (classifica per piattaforma):
In dodici mesi (considerando le rilevazioni più recenti), si è passati dal 72% all’84% su Chrome OS, seguono gli utenti Apple (MAC oS all’82%), Microsoft (Windows al 73%), Android (72%) e Linux (65%).
Firefox, che in base ai report di turno è dato tra l’8% ed il 12% di market share ed oscilla alternativamente tra il secondo ed il terzo posto insieme a Safari (Apple), certifica nuovamente l’ampia diffusione di HTTPS (percentuale globale e di alcuni Paesi selezionati):
A livello globale la media di pagine HTTPS caricate è al 70%. I paesi occidentali mostrati nel grafico (purtroppo è assente l’Italia) oscillano tra il 76% e l’80%. Leggermente sotto la media l’unico rappresentante dell’estremo oriente (Giappone al 65%).
HTTPS è la norma
Per dare ulteriore slancio all’affermazione di HTTPS, Google ha deciso di attuare a breve termine alcuni cambiamenti al proprio browser. Il primo, che va a rispondere anche alla domanda che ci siamo posti nel titolo, riguarda la classificazione delle pagine sprovviste di certificato SSL, quindi che si appoggiano al protocollo HTTP, come “Non sicure” a partire da luglio 2018:
In linea di massima l’utilizzo di un certificato SSL è irrinunciabile per tutti i siti che gestiscono dati sensibili come informazioni personali degli utenti (indirizzi, codici fiscali etc.), numeri/codici delle carte di credito. Chi si occupa di un piccolo sito/blog privato senza finalità commerciali può ancora attendere ma deve tenere presente che gli avvisi di Chrome, nelle future versioni, diverranno sempre più “insistenti” ed in grado di “spaventare” l’utente medio, da sempre molto suscettibile ed attento a sollecitazioni di questo tipo.
Come osserva il portale DN Journal, anche se con toni eccessivamente allarmistici (Red Alert: Encrypt Your Website Now or Expect to Lose Traffic When Google Updates Its Chrome Browser in July), i portali senza certificato andranno probabilmente incontro ad un sensibile calo del traffico.
Il secondo cambiamento, previsto per settembre 2018, riguarda la scomparsa della dicitura “Sicuro” per i siti HTTPS. Il messaggio che la compagnia vuole comunicare è semplice e chiaro: HTTPS è ormai la norma, lo standard “sicuro” per definizione. Non è più necessario evidenziarne l’utilizzo mediante la dicitura “Sicuro”.
Per quanto riguarda infine le pagine HTTP, saranno almeno due i cambiamenti ai quali la user base di Chrome andrà incontro: il messaggio “Not secure” sarà affiancato da un’icona rossa di avvertimento (medesimo colore anche per la dicitura) su ogni pagina HTTP che richiederà l’inserimento di credenziali (es: classica procedura di login):
Sul medio termine, ma non vi sono ancora conferme ufficiali, il messaggio d’allerta potrebbe apparire addirittura a tutto schermo, penalizzando in modo ancora più netto i portali HTTP.