Come abilitare Firefox per bloccare i siti http e reindirizzarli in https, quando disponibile, con l’estensione https everywhere

Un sito con l'indirizzo che inizia per https (Hypertext Transfer Protocol Secure) garantisce un protocollo di comunicazione più sicuro che crea una connessione criptata tra l’utente e il sito web, i dati così trasmessi, come una password per accedere alla banca online, sono più sicuri e illeggibili da eventuali intercettazioni da parte di persone non autorizzate. Il più vecchio protocollo HTTP è privo di questa cifratura dei dati e quindi mette potenzialmente a rischio qualsiasi trasmissione di dati via web.

I siti rimasti ancora in http, vengono segnalati dal browser come connessione non sicura, solo che, molte volte e molte persone, non fanno proprio caso a questa indicazione e così pensando di entrare nel sito https sicuro della propria banca, finiscono nel sito http clonato predisposto per il phishing e il furto delle credenziali utilizzate.

Per maggiori dettagli su HTTP e HTTPS potete consultare questo articolo di Zane.

Con Firefox abbiamo a disposizione due modi per limitare/impedire l’utilizzo dei siti http, una modifica alla configurazione del browser e l’estensione HTTPS everywhere

About:config

Per la modifica della configurazione di Firefox digitate about:config e accettate i rischi.

Ricercate la voce dom.security.https_only_mode e cambiate, basta cliccarci sopra, il suo valore da false a true.

Se volete ripristinare la configurazione iniziale basta nuovamente cliccare sopra i due valori che sono cambiati in true e rimetterli in false.

Una volta fatta la modifica, se tentate di accedere a un sito con indirizzo http il browser tenterà di aprire il sito con il protocollo https, quando disponibile, altrimenti rilascerà un avviso molto più chiaro del semplice lucchetto sbarrato che abbiamo visto prima.

Se siete sicuri che il sito va bene e lo volete raggiungere non dovete fare altro che accettare il rischio e proseguire. Se invece credevate di finire nel sito della vostra banca e qualcosa vi ha dirottato in un sito fasullo http, dove rischiate di perdere i vostri dati personali, a questo punto potete fermarvi.

Il sito https in realtà esiste, ma ha il certificato scaduto da tempo per cui viene segnalato lo stesso come connessione non sicura.

Estensione https everywhere

L’estensione HTTPS Everywhere, disponibile anche per altri browser, permette di utilizzare il protocollo HTTPS, per tutti i siti che lo supportano, anche se noi digitiamo un indirizzo http, magari perché memorizzato nei preferiti e mai modificato.

Una volta installata l’estensione bisogna attivare Encrypt All Sites Eligible se volete bloccare le connessioni http non criptate.

Con le connessioni HTTP disativate se si tenta di accedere a uno di questi siti, e non è disponibile il protocollo HTTPS, compare un messaggo come quello che vedete nella prossima immagine.

Si può decidere di proseguire lo stesso e aggiungere una eccezione permanente per il sito in questione oppure limitata a questa sessione della navigazione.

Durante le prove, solo su alcuni siti http, sia l’estensione che la modifica alla configurazione vista in precedenza, funzionano con forti ritardi e l’avviso compare dopo lunga attesa.

Se siete sicuri del sito potete sempre disattivare momentanemente l’estensione o disattivarla solo per il sito problematico.

Un esempio pratico del reindirazzare i siti http verso quelli https è anche la scoperta di quanti di questi hanno dei certificati scaduti o considerati non validi.

Non sempre questo è sintomo di un sito pericoloso, magari è solo poco curato o aggiornato, però potrebbe anche significare qualcosa di sospetto se state per entrare in un sito che non conoscete o frequentate abilitualmente.

Conclusioni

Al momento non mi sento ancora di dare un giudizio definitivo riguardo all'estensione HTTPS Everywhere, non mi ha deluso, ne convinto del tutto, al momento la tengo ancora installata e, in caso, aggiornerò le mie impressioni.

Durante questa prova mi sono invece accorto di quanti indirizzi vecchi, che ancora iniziavano con http, avevo memorizzato nei preferiti del browser e ne ho approfittato per fare pulizia e aggiornarli.