Alfonso Maruccia

Mozilla e HTTPS, un'offerta che non si può rifiutare

La fondazione americana avvia quella che a suo dire è la transizione irrevocabile da HTTP alle connessioni protette di HTTPS. Tutti, singoli blogger e grandi corporation, dovranno comprare un certificato. O abbandonare Firefox

Roma - Mozilla continua a ripercorrere i passi di Google e formalizza ufficialmente la proposta, già espressa di recente, di eliminare gradualmente il supporto ai siti Web che usano le comunicazioni in chiaro su canali HTTP. A sentire Mozilla tutti i siti Web dovranno convertirsi ad HTTPS, pena l'incompatibilità con le versioni future del browser Firefox.

Le comunicazioni HTTPS sono sicure e convengono a tutti, ai netizen che gestiscono un piccolo sito personale così come alle aziende con una presenza in rete, prova a spiegare Mozilla: la casa del Panda Rosso elenca i molti vantaggi di HTTPS e le possibilità, per chi non vuole pagare per un certificato SSL che considera oggettivamente inutile, di ottenere e installare un certificato a costo (quasi) zero.

Il futuro del Web è su HTTPS, sostiene Mozilla, e per i webmaster che non ne vorranno sapere di fare il necessario update al server si prospetta un futuro magro, almeno su Firefox: la discussione in tal senso è ancora in corso ma già si parla di accesso limitato alle nuove funzionalità delle versioni future del browser open source.
Il passaggio forzato da HTTP ad HTTPS verrà in ogni caso gestito di concerto con gli sviluppatori, rassicura Mozilla, e la fondazione promette di comunicare la deprecazione di una funzionalità o una tecnologia Web per i siti HTTP prima di aggiornare Firefox.

Al momento non esistono date né piani dettagliati per la deportazione dei siti Web nel recinto sicuro e obbligatorio di HTTPS, sebbene Mozilla tenga a sottolineare come la sua iniziativa - ripresa, come tante discusse "novità" del Firefox degli ultimi anni, da Google Chrome - passerà per una proposta formale presso il World Wide Web Consortium (W3C).

Alfonso Maruccia
Notizie collegate
  • SicurezzaGoogle, sicurezza e scivoloniMountain View offre nuove opportunità per mettere in sicurezza le comunicazioni in rete, mentre gli ingegneri propongono misure estreme e radicali a sostegno di HTTPS. Il management dei piani alti, invece, scodella consigli fallaci
  • TecnologiaFirefox e Chrome, giovani browser contro il vecchio WebGli ingegneri Mozilla dicono peste e corna di HTTP e propongono di discriminare lo storico protocollo e la sua insicurezza. A Google, invece, si prepara il terreno al pensionamento definitivo delle API degli anni '90
93 Commenti alla Notizia Mozilla e HTTPS, un'offerta che non si può rifiutare
Ordina
  • Quante sciocchezze in poco tempo, peggio per loro (un browser che peggiora di versione in versione)
    non+autenticato
  • Passerò a Chromium...addio firefox con effetto immediato...
    Ma si rendono conto che così rendono molto più complicato l' utilizzo di proxy? probelma sopratutto per le aziende e non i privati.
    E vero che è possibile far un proxy https ma bisogna installare i certificati su tutte le macchine e...su firefox bisogna importare il certificato anche nel browser! (al contrario di chrome, explorer ecc,,)anche sui cellulari...l' unico problema è che firefox mobile non fa importare i certificati...basta... migro a Chromium e consiglierò a tutti di farlo
    HTTPS va usato SOLO quando necessario.
    non+autenticato
  • Il proxy https lo puoi implementare anche senza importare certificati.

    I certificati ti servono solo per leggere il traffico, quindi per fare proxy censori o caching.
    non+autenticato
  • - Scritto da: Stefano

    > I certificati ti servono solo per leggere il
    > traffico, quindi per fare proxy censori o
    > caching.

    Scriveva riferendosi ai problemi alle aziende e questi due usi ci stanno tutti.
    Teo_
    2644
  • - Scritto da: Teo_
    >
    > Scriveva riferendosi ai problemi alle aziende e
    > questi due usi ci stanno
    > tutti.

    suvvia... il caching aveva senso 15 anni fa, oggi internet è completamente diversa... i siti sono tutti dinamici, non ci sono due chiamate a distanza di pochi secondi che restituiscano dati uguali... e poi, la banda non è più limitata come 15 anni fa, e dunque il caching non più ha alcuna utilità.
    L'unico uso è quello di controllo.
    non+autenticato
  • - Scritto da: Stefano
    > Il proxy https lo puoi implementare anche senza
    > importare
    > certificati.
    Evidentemente non sai cosa stiamo dicendo e non hai mai implementato su una rete un proxy https.

    > I certificati ti servono solo per leggere il
    > traffico, quindi per fare proxy censori o
    > caching.

    Si per leggere il traffico, magari fare una scansione con l' antivirus, filtrare url e contenuti malevoli...chessò per sicurezza
    non+autenticato
  • Ai mozilliani il successo ha dato alla testa, e sono diventati come i googlani.
    Ma rinsaviranno quando si accorgeranno che c'è una marea sterminata di altri browser in alternativa, e che la gente non ci mette molto a cambiare bandiera...
    non+autenticato
  • Purtroppo altri browser non ce ne sono molti, i motori di render sono pochini in realtà:
    - IE
    - Gecko (firefox)
    - WebKit (chrome, opera, ....)
    - Presto (opera vecchio ora abbandonato)

    Ce ne sono altri che mi sfuggono?
    non+autenticato
  • - Scritto da: Jack
    > Purtroppo altri browser non ce ne sono molti, i
    > motori di render sono pochini in
    > realtà:
    > - IE
    > - Gecko (firefox)
    > - WebKit (chrome, opera, ....)
    > - Presto (opera vecchio ora abbandonato)
    >
    > Ce ne sono altri che mi sfuggono?

    Se continuano a rompere con tutti sti java io torno a:

    https://en.wikipedia.org/wiki/Links_%28web_browser...

    Tanto per cercare i torrent e scaricarsi filmati porno va benissimo !
    non+autenticato
  • - Scritto da: Odoamaro
    > Ai mozilliani il successo ha dato alla testa, e
    > sono diventati come i
    > googlani.
    > Ma rinsaviranno quando si accorgeranno che c'è
    > una marea sterminata di altri browser in
    > alternativa, e che la gente non ci mette molto a
    > cambiare
    > bandiera...

    Mozilla e Google assieme hanno tutto il potere di imporre questo cambiamento al web. Tutto il resto è marginale.
    Funz
    12989
  • Mozilla e HTTPS, un'offerta che non si può rifiutare.

    Altrimenti? Arrabbiato
    non+autenticato
  • altrimenti frega 'na ceppa a nessuno (come della SIAE)
    Parola di
    SIAMAI (Società Italiana Autori Menefreghisti Alla Italiana)
    Arrabbiato
    non+autenticato
  • Premetto che Mozilla e Google non vogliono eliminare HTTP (per ora), solo disabilitare nuove funzionalità nei collegamenti non HTTPS: c'è una bella differenza!

    Detto questo, per i gestori di piccoli siti sarà un bel casino: se è vero che stanno nascendo iniziative per fornire certificati free ed è sempre possibile "autocertificarsi", ricordo che un certificato si riferisce ad un IP univoco, quindi, tipicamente, ad un server. Ma è norma che la stragrande dei piccoli siti sia ospitato in hosting, condividendo server (e quindi IP) con moltissimi altri utenti! Come risolveranno questo problema?
    non+autenticato
  • - Scritto da: Qualcuno
    > Premetto che Mozilla e Google non vogliono
    > eliminare HTTP (per ora), solo disabilitare nuove
    > funzionalità nei collegamenti non HTTPS: c'è una
    > bella
    > differenza!
    >
    > Detto questo, per i gestori di piccoli siti sarà
    > un bel casino: se è vero che stanno nascendo
    > iniziative per fornire certificati free ed è
    > sempre possibile "autocertificarsi", ricordo che
    > un certificato si riferisce ad un IP univoco,
    > quindi, tipicamente, ad un server. Ma è norma che
    > la stragrande dei piccoli siti sia ospitato in
    > hosting, condividendo server (e quindi IP) con
    > moltissimi altri utenti! Come risolveranno questo
    > problema?

    per tua informazione:
    https://en.wikipedia.org/wiki/Opportunistic_encryp...
    non+autenticato
  • - Scritto da: Qualcuno
    > Ma è norma che
    > la stragrande dei piccoli siti sia ospitato in
    > hosting, condividendo server (e quindi IP) con
    > moltissimi altri utenti! Come risolveranno questo
    > problema?

    Usando il server name indication (SNI) e continuando a condivider l’indirizzo IP. Sempre che non si riesca finalmente ad usare IPv6
    Teo_
    2644
  • > Usando il server name indication (SNI) e
    > continuando a condivider l’indirizzo IP.

    Ma non mi pare che i certificati gratuiti attualmente disponibili siano adatti al SNI, o sbaglio?
    non+autenticato
  • - Scritto da: Qualcuno
    > > Usando il server name indication (SNI) e
    > > continuando a condivider l’indirizzo IP.
    >
    > Ma non mi pare che i certificati gratuiti
    > attualmente disponibili siano adatti al SNI, o
    > sbaglio?

    Non lo sapevo neanche io http://punto-informatico.it/b.aspx?i=4239325&m=424... ma ho provato ad installarne qualcuno single domain su IP condiviso e funzionano.
    Teo_
    2644
  • - Scritto da: Qualcuno
    > Premetto che Mozilla e Google non vogliono
    > eliminare HTTP (per ora), solo disabilitare nuove
    > funzionalità nei collegamenti non HTTPS: c'è una
    > bella
    > differenza!
    >
    > Detto questo, per i gestori di piccoli siti sarà
    > un bel casino: se è vero che stanno nascendo
    > iniziative per fornire certificati free ed è
    > sempre possibile "autocertificarsi", ricordo che
    > un certificato si riferisce ad un IP univoco,
    > quindi, tipicamente, ad un server. Ma è norma che
    > la stragrande dei piccoli siti sia ospitato in
    > hosting, condividendo server (e quindi IP) con
    > moltissimi altri utenti! Come risolveranno questo
    > problema?

    Secondo me il problema è esattamente l'opposto. Cioè i siti come Google & CO sono certificati, perché se lo possono permettere, mentre non sarà più consentito mettere su un server web personale, o per lo meno ci saranno siti di serie A e siti di serie B, e qualcuno che sceglierà chi deve stare da una parte e chi dall'altra, il limite ai contenuti eccetera.
    non+autenticato
  • La tua mi sembra una paranoia inutile se consideriamo che un certificato costa meno di 10€/y (ad esempio su namecheap), lo stesso costo di un dominio. E no, non compare scritto "sito di serie B".
    Se non vuoi spendere puoi sempre utilizzare siti che offrono hosting gratuito, non ti serve un certificato per quelli (ne avranno UNO loro per la loro piattaforma).
    non+autenticato
  • - Scritto da: Stefano
    > La tua mi sembra una paranoia inutile se
    > consideriamo che un certificato costa meno di
    > 10€/y (ad esempio su namecheap), lo stesso costo
    > di un dominio. E no, non compare scritto "sito di
    > serie
    > B".
    Ma non compare neppure granchè che ti sia utile a "fidarti" di quel sito.
    Ergo se una CA pubblica non ha una policy rigorosa esposta e pubblicata e verificabile in quanto affidabilità (e verifiche che prova di fare e saper fare) hai semplicemente buttato 10 euro.
    Tanto vale che ti fai tu la tua CA.
    In caso contrario (ovvero la CA ha policy rigorose pubbliche ecc. ecc.) sarà assai meno cheap.
    non+autenticato
  • Le policy sono rigorose in base al costo del certificato, in genere (come ti ho risposto su).

    A parte i casi di CA che hanno subito intrusioni senza dirlo (ca che poi sono state escluse da quelle considerate attendibili, ricordiamolo), il sistema funziona.
    non+autenticato
  • - Scritto da: Stefano
    > Le policy sono rigorose in base al costo del
    > certificato, in genere (come ti ho risposto
    > su).
    >
    > A parte i casi di CA che hanno subito intrusioni
    > senza dirlo (ca che poi sono state escluse da
    > quelle considerate attendibili, ricordiamolo), il
    > sistema
    > funziona.
    No sono stati esclusi i root certificate della CA compromesse non le CA.
    A parte questo il sistema come è ora concepito NON funziona per diversi motivi:
    1) Non hai un criterio univoco e condiviso sulla base di cui accettare o meno una CA.
    2) Ogni prodotto di questo mondo ha una "sua" lista di trust (chrome ha la sua Mozilla un altra Opera pure Explorer anche e via elencando) se poi parliamo anche dei Mailer o peggio ancora di prodotti di "sicurezza" apriti cielo!
    Trovi porcherie a non finire.

    Morale non sarebbe ora di capire che accettare una lista alla cieca senza neppure sapere (per la gran parte degli utonti) dove diavolo stia nel menù "clicca clicca" che cappero c'è scritto dentro è tutto fuorchè "sicuro"?

    Secondo me (e secondo chiunque abbia un minimo di dimestichezza con la sicurezza) sì.. sarebbe ora che gli utonti comincino a diventare utenti e gli si dica la verità sul dove e sul perchè cliccare.

    La alternativa?
    Non c'è ma in compenso è facile vedere il risultato e il danno che provoca l'approccio utonto al posto di quello utente.

    Altrimenti quelle sulla sicurezza sono solo inutili chiacchere.
    non+autenticato
  • - Scritto da: Certificato
    > - Scritto da: Stefano
    > > Le policy sono rigorose in base al costo del
    > > certificato, in genere (come ti ho risposto
    > > su).
    > >
    > > A parte i casi di CA che hanno subito
    > intrusioni
    > > senza dirlo (ca che poi sono state escluse da
    > > quelle considerate attendibili,
    > ricordiamolo),
    > il
    > > sistema
    > > funziona.
    > No sono stati esclusi i root certificate della CA
    > compromesse non le
    > CA.
    > A parte questo il sistema come è ora concepito
    > NON funziona per diversi
    > motivi:
    > 1) Non hai un criterio univoco e condiviso sulla
    > base di cui accettare o meno una
    > CA.
    > 2) Ogni prodotto di questo mondo ha una "sua"
    > lista di trust (chrome ha la sua Mozilla un altra
    > Opera pure Explorer anche e via elencando) se poi
    > parliamo anche dei Mailer o peggio ancora di
    > prodotti di "sicurezza" apriti
    > cielo!
    > Trovi porcherie a non finire.
    >
    > Morale non sarebbe ora di capire che accettare
    > una lista alla cieca senza neppure sapere (per la
    > gran parte degli utonti) dove diavolo stia nel
    > menù "clicca clicca" che cappero c'è scritto
    > dentro è tutto fuorchè
    > "sicuro"?
    >
    > Secondo me (e secondo chiunque abbia un minimo di
    > dimestichezza con la sicurezza) sì.. sarebbe ora
    > che gli utonti comincino a diventare utenti e gli
    > si dica la verità sul dove e sul perchè
    > cliccare.
    >
    > La alternativa?
    > Non c'è ma in compenso è facile vedere il
    > risultato e il danno che provoca l'approccio
    > utonto al posto di quello
    > utente.
    >
    > Altrimenti quelle sulla sicurezza sono solo
    > inutili chiacchere.

    Io farei andati in rete solo chi ha conoscenze equivalenti ad una laure di informatica.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)