Negli ultimi tempi la discussione sulla riservatezza dei dati che circolano in rete sta riscuotendo molto interesse, sia da parte degli utenti che dei fornitori di servizi Web. Da un lato, è in continua crescita il numero degli utenti che utilizzano strumenti di comunicazione dotati di protezioni allo stato dell’arte, come i servizi di messaggistica con cifratura end-to-end. Parallelamente, diversi fornitori intendono promuovere l’adozione di misure di sicurezza in rete: ad esempio a partire da gennaio 2017 il browser Chrome di Google, oggi il più diffuso, segnalerà come non sicuri tutti i siti che trasmetteranno password o numeri di carte di credito su connessioni HTTP, ovvero non cifrate. Eppure, nonostante questi segnali, a giugno 2016 soltanto il 45,5% dei siti web visualizzati dagli utenti impiega connessioni protette da HTTPS.
Connessioni cifrate: quanto costano?
Lo scarso utilizzo di connessioni cifrate è riconducibile ai costi indotti dalla gestione dei certificati digitali necessari per servizi di base quali l’autenticazione o lo scambio di chiavi di sessione. I costi di gestione dei certificati includono due distinte componenti: i costi diretti per l’acquisto dei certificati X.509, essenziali per implementare il protocollo HTTPS, ed i successivi costi operativi che devono essere sostenuti per la loro manutenzione.
Il costo di acquisto del certificato è estremamente variabile in funzione:
- della copertura: i certificati standard si applicano ad un singolo dominio, mentre i wildcard si estendono anche a tutti i sotto-domini;
- del processo di emissione, che può includere o meno la verifica dell’identità del proprietario del dominio;
- della Certification Authority (CA) a cui ci si rivolge: le più note, riconosciute come affidabili dai browser e di conseguenza dagli utenti, hanno i canoni più alti.
Ad esempio, il costo di un certificato valido per un anno rilasciato da Symantec (ex Verisign, una delle Certification Authority più conosciute) nel 2016 varia tra 399 e 1.999 dollari, quello dei certificati emessi da Thawte oscilla oggi fra 149 e 745 dollari e rivenditori come GoGetSSL offrono soluzioni alternative per meno di 5 dollari.
Il prezzo di acquisto è però spesso trascurabile rispetto ai costi operativi relativi alla successiva gestione dei certificati, che richiede competenze specifiche per:
- installare il certificato e configurare in modo opportuno la catena di certificati che lo collega alla Certification Authority di emissione;
- assicurare la disponibilità del certificato anche a fronte di guasti dei server su cui è conservato;
- completare le procedure di rinnovo alla scadenza, il cui costo è in genere analogo a quello della prima emissione.
Let’s Encrypt: opportunità e rischi
Per risolvere questi problemi è stata recentemente promossa Let’s Encrypt, una Certification Authority aperta che aspira a rendere i suoi certificati accessibili a tutti. I certificati emessi da Let’s Encrypt sono gratuiti, e di conseguenza i costi di acquisto e di rinnovo sono azzerati. Ma è sul fronte dei costi operativi che Let’s Encrypt offre un vantaggio davvero significativo rispetto alle Certification Authority tradizionali: è infatti possibile avvalersi di particolari software detti “certificate management agent” che, in modo totalmente automatico, completano i processi di emissione del certificato, lo configurano e ne gestiscono il ciclo di vita richiedendone il rinnovo alla scadenza. Gli utenti esperti che lo desiderano possono comunque rinunciare all’automazione completa e portare avanti manualmente i processi necessari.
Nei primi 6 mesi del progetto, Let’s Encrypt ha emesso 5 milioni di certificati, destinati a domini che nel 90% dei casi non avevano mai utilizzato prima connessioni HTTPS: questo straordinario risultato dimostra che abbattere i costi di acquisto e di gestione dei certificati consente di ampliare in modo significativo il numero di siti web in grado di utilizzare connessioni cifrate, e di conseguenza contribuisce ad incrementare la sicurezza in rete. Inoltre, Let’s Encrypt è basata su standard aperti ed è un’iniziativa cooperativa, promossa dall’Internet Security Research Group: probabilmente è anche grazie a questi punti di forza che entro l’anno Firefox inserirà Let’s Encrypt tra le Certification Authority considerate affidabili e sicure.
Nonostante le notevoli opportunità che offre, Let’s Encrypt presenta anche alcuni punti critici: innanzi tutto, la mancanza di un meccanismo per la revoca automatica di un certificato in funzione delle segnalazioni di Google sui siti malevoli. Questo può consentire ad eventuali attaccanti di utilizzare un certificato valido per legittimare dei siti compromessi. In secondo luogo, alcuni esperti contestano la durata dei certificati, pari a 90 giorni, che potrebbero essere troppi nel caso in cui il certificato dovesse essere compromesso ed il sito non dovesse rilevare l’attacco, o non dovesse richiedere la revoca. Infine, la completa dipendenza di Let’s Encrypt da sole sponsorizzazioni, in assenza di una fonte di finanziamento strutturale, porta ad interrogarsi sulla sostenibilità del modello e di conseguenza sulla persistenza del servizio offerto nel tempo.
Tuttavia, a dispetto di alcuni elementi di criticità, ad oggi il bilancio tra opportunità e rischi è assolutamente positivo: la crescita ed i risultati ottenuti da Let’s Encrypt in questi primi mesi di esercizio sono estremamente significativi e promettono nuove, interessanti evoluzioni.
Facebook Comments