Tra gli strumenti che mi capita di utilizzare più spesso per testare il funzionamento dei miei siti web ce ne sono due che trovo molto utili per quanto riguarda la configurazione SSL. Mi riferisco in particolare a:
Fino a qualche tempo fa, Webbkoll era ospitato dall’organizzazione Dataskydd che, come spiega l’annuncio pubblicato sul vecchio sito di Webbkoll, non esiste più:
L’organizzazione dataskydd.net non esiste più. La Fondazione 5 luglio in Svezia ha accettato di mantenere Webbkoll operativo. D’ora in poi, si prega di utilizzare https://webbkoll.5july.net/. webbkoll.dataskydd.net continuerà a funzionare come al solito almeno fino a metà ottobre. Successivamente, verrà reindirizzato a https://webbkoll.5july.net/.
Dal vecchio sito di Webbkoll
Quindi, come specificato, d’ora in avanti le funzionalità di questo prezioso strumento, che aiuta moltissimo nel configurare correttamente il proprio sito e server web, saranno accessibili ad un indirizzo differente.
Per cosa uso Webbkoll
Il motivo principale per cui uso Webbkoll è quello di configurare correttamente le policy dei server web per rafforzare quanto più possibile le impostazioni di sicurezza e garantire maggiore privacy ai visitatori dei miei siti.
Tra queste impostazioni ci sono sicuramente la Strict Transport Security (STS o HSTS), la Content Security Policy (CSP) e la Referrer-Policy. Queste policy istruiscono i web browser su come accedere il sito, su quali risorse accettare e su come trattare le informazioni riguardanti il sito di provenienza quando si clicca su un link che porta ad un sito esterno. Queste policy, correttamente configurate, migliorano la sicurezza di un sito e, soprattutto, quella dei suoi visitatori.
Per quanto concerne la Content Security Policy, segnalo l’ottimo sito https://content-security-policy.com/ che contiene la guida di riferimento e moltissimi esempi utili. La CSP è probabilmente quella più difficile da implementare, dato che dipende molto da come è strutturato il sito web ed i suoi contenuti.
La CSP di questo sito, infatti, è ancora in progress.
SSL Labs
Lo strumento SSL Server Test, mantenuto da Qualys (un’azienda che si occupa di sicurezza informatica), esegue dei test relativi alla configurazione SSL di un sito, analizzando la validità del certificato utilizzato e dei protocolli di cifratura implementati, aiutando ad individuare eventuali debolezze.
Per utilizzare questi strumenti è necessario che il proprio sito web sia accessibile da Internet e, in particolare, dagli indirizzi IP utilizzati dalle suddette organizzazioni. Non è quindi possibile utilizzarli per testare la configurazione di un sito intranet che, per definizione, è accessibile solo dall’interno di una rete privata.
Due parole sulla Fondazione 5 luglio
Come spiegato chiaramente sul loro sito, la Fondazione si batte affinché vengano rispettati i diritti dei cittadini anche quando si “muovono” on-line. Purtroppo molti degli Stati che, sulla carta, si sono impegnati a garantire questi diritti, in particolare quello alla privacy, alla riservatezza delle comunicazioni e alla libertà di espressione, sembrano più impegnati a fare l’esatto contrario, introducendo leggi e controlli sempre più invasivi e boicottando di fatto gli strumenti di cifratura più robusti.
Tra le iniziative più preoccupanti c’è sicuramente la proposta di legge cosiddetta “Chat Control” che, con le solite scuse di lotta al terrorismo e alla pedopornografia, vorrebbe fare in modo di controllare tutti gli strumenti usati per le comunicazioni digitali, analizzandone i contenuti anche quando non vi siano indizi di reato.
Nella pratica sarebbe come avere uno spyware installato sul proprio dispositivo, con ciascun provider di servizi di messaggistica obbligato a fare una scansione di qualsiasi contenuto prima che questo venga trasmesso al destinatario.
Al di là delle evidenti difficoltà tecniche di implementare una simile soluzione, uno strumento di questo genere sarebbe estremamente pericoloso sotto diversi punti di vista:
- tutti saremmo soggetti alla scansione dei nostri contenuti, anche quando questi non costituiscono reato;
- i fornitori delle applicazioni di messaggistica, che sono soggetti privati, avrebbero il potere di ispezionare le comunicazioni dei loro utenti, utilizzando arbitrariamente le informazioni ottenute;
- gli immancabili falsi positivi potrebbero compromettere la libertà o la reputazione di persone prive di colpe;
- gli accessi abusivi a questi sistemi potrebbero costituire un pericolo per la vita di alcuni soggetti.
Per questi e per altri motivi è assolutamente prioritario adoperarsi affinché il web rimanga un luogo in cui i diritti dei cittadini continuano a valere, non solo sulla carta ma anche nei fatti.