Troy Hunt, il creatore di Have I been Pwned, sta portando avanti da tempo quella che possiamo definire una battaglia relativa alla corretta interpretazione dei certificati EV, acronimo che sta per Extended Validation.
Questi certificati possono essere acquistati da chiunque ed hanno come prerogativa il fatto che la verifica dell’identità del proprietario venga effettuata andando a controllare i dati legali dello stesso. Una sorta quindi di verifica estesa (Extended Validation, appunto) che presuppone quindi una maggiore attendibilità.
Sia chiaro, il funzionamento in sé del certificato prodotto poi non cambia: sempre di SSL si tratta e sempre di crittografia applicata a connessioni http si sta parlando. Ed è proprio questo il punto. Quanto illustrato ampiamente da Hunt nel suo lunghissimo post (che è comunque l’ultimo di una serie) vuole evidenziare come la questione sia a monte del tecnicismo: il fatto che i certificati EV vengano venduti come portatori aggiuntivi di sicurezza e affidabilità è sostanzialmente pubblicità ingannevole.
Infatti è stato dimostrato in diverse circostanze (e lo dimostra lo stesso Hunt nel post) come in realtà avere questo tipo di “bollino”, che nella pratica si traduceva nel nome “verde” esteso dell’azienda sulla barra delle applicazioni, non garantisca niente di più rispetto ad un “normale” certificato.
Viene usato il passato apposta poiché è da un pezzo che i browser (tanto dei dispositivi mobile quanto sui PC) non mostrano più il nome. In Chrome la modalità di rappresentazione è stata cambiata nell’agosto del 2019.
Oltre a farsi una cultura quindi sul tema (personalmente ho scoperto molte cose interessanti leggendo la disamina del papà di Have I been Pwned) tutta questa storia dimostra ancora una volta un semplice principio: non deve essere un lucchetto verde o un nome esteso a farci dormire sonni tranquilli, quanto piuttosto, e come sempre, il buon senso.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Tags: certificati, EV, HTTPS, SSL