Si dic HTTP, gairebé a tothom li vindrà al cap la part inicial de les adreces que fan referència a una web. Perquè encara que no ho escrivim nosaltres, el nostre navegador ho afegeix si no ho fem. Així que per anar a VilaWeb, l’adreça completa que envia el nostre navegador al servidor és http://vilaweb.cat
Fixeu-vos, d’una altra banda, que no he escrit www: al principi es feia servir www per deixar clar que volíem veure una adreça web i, de fet, els més vells recordaran que també hi havia llocs gopher i ftp (que encara resisteixen). Una web ben programada respondrà tant si hi poseu les tres www al davant com si no.
Tot això era per parlar d’un protocol d’internet tan vell com l’HTTP i que cada vegada és més important, l’HTTPS, que és el protocol de comunicació entre el nostre navegador i el servidor per veure i enviar dades de manera segura (per això hi ha la S final).
Però no sols encripta les comunicacions, també us assegura que us esteu connectant al lloc que us voleu connectar, no a un lloc fals. Això s’aconseguexi perquè per fer servir el protocol segur, al servidor li cal un certificat que indica qui és el propietari del lloc web. Així que a més d’assegurar la comunicació bidireccional, el protocol us informa de qui és el propietari del lloc web.
I per què en parlem, avui?
Doncs perquè Google ha decidit que marcarà en un futur negativament els llocs web amb problemes de seguretat o amb problemes amb els certificats de seguretat: en unes altres paraules, que marcarà negativament totes les webs que no tinguin comunicació encriptada segura. Perquè vol que totes les webs siguin encriptades. I no us penseu que això és nou: Google ja ho va dir el 2014.
Encrypt All The Things és una campanya que vol promoure justament que les webs abandonin el sistema HTTP i que facin servir el sistema segur de l’HTTPS.
Aquesta campanya té aliats molt potents, més enllà del potent Google: també hi ha Apple, Mozilla, Twitter, Dropbox, Facebook, Microsoft i Yahoo!, a més del govern dels Estats Units, que obliga que tots els llocs web governamentals (els que acaben amb .gov) siguin HTTPS abans que s’acabi el 2016.
Els de Mozilla, que també en són molt actius, han publicat una
sèrie de reportatges sobre la necessitat d’encriptació pels periodistes perquè, diuen, ‘l’encriptació no tan sols protegeix la intimitat, sinó que també permet la lliure expressió’.
Com funciona?
Per anar a un lloc web HTTPS expressament haurem d’escriure
https:// o bé, si el lloc és ben programat, escriurem simplement l’adreça i el servidor s’encarregarà de redirigir-nos al lloc HTTPS.
En el moment de fer la connexió entre el nostre navegador i el servidor, el certificat SSL crea una connexió encriptada. A continuació apareix un cadenat a la barra d’adreces del navegador i apareix
https:// perquè nosaltres veiem que tot funciona de manera segura. Si el servidor té un certificat EV (‘Extended Validation’ o validació ampliada) la barra i el cadenat seran de color verd.
El nostre navegador verifica que el certificat sigui correcte, és a dir, que sigui emès pel lloc web que veiem, que no hagi caducat i que hagi estat emès per una empresa de confiança.
Si voleu comprovar que el vostre lloc web és ben configurat podeu passar la prova de
Qualys SSL Labs, que us dirà si compliu tots els requeriments o si una web que visiteu els compleix. Si sou curiosos, molt curiosos, poseu l’adreça de l’Agencia Española de Protección de Datos (AEPD), la que teòricament ha de vetllar per la seguretat de les nostres dades i veureu que tenen una qualificació F, la pitjor que es pot obtenir…
Identitat del lloc web
Un certificat, el podem fer nosaltres mateixos: és el que s’anomena certificat autofirmat. Aquest certificat ja compleix la primera funció, encriptar les dades, però el nostre navegador ens avisarà que el servidor no és reconegut per ningú excepte per nosaltres i, normalment, ens dirà que no ens en refiem, si nosaltres no som importants. Els de Google certifiquen ells mateixos que són Google i, en aquest cas, sí que tothom s’ho creu.
Si volem un certificat reconegut, haurem d’anar a alguna entitat certificadora, semblants a les entitats certificadores que reconeixen la nostra identitat a internet: les entitats certificadores de llocs web o empreses que certifiquen qui és i qui hi ha al darrere d’una web.
Els més barats emetent certificats són els de
Let’s Encrypt, insuperables si feu servir GNU/Linux. Són gratuïts i amb un sistema de certificació i posada en marxa molt senzill. A continuació hi ha els de
Comodo, que podeu comprar a
Don Dominio: ofereixen els primers noranta dies gratuïts i, una vegada provat i demostrat que funciona, pagant 5,95 euros l’any tindreu el certificat Comodo Postiive SSL.
Si aneu a la pàgina de
certificats de Don Dominio veureu que des de 5,95 euros a 279,95 euros l’any teniu molt per a escollir, i són només els que venen ells! Els més cars són els emesos per entitats certificadores reconegudes directament pel vostre navegador i que també són reconeguts pels usuaris.
Ara, si voleu el famós cadenat verd que surt a la barra de navegació, el que garanteix no sols que la comunicació és encriptada sinó que l’entitat emissora ha comprovat qui sou i certifica que sou qui sou, el que s’anomena validació ampliada, us costarà com a mínim 126,95 euros. Com podeu imaginar, els venedors de certificats diuen que la barra verda fa augmentar la confiança dels clients…
Més costs
Un cost addicional que heu de tenir en compte quan penseu que voleu tenir un certificat SSL per a identificar el vostre web és el de l’adreça IP específica, perquè així com el protocol HTTP permet de tenir moltes webs en una mateixa adreça IP i repartir-ne el cost entre tots els usuaris, el protocol HTTPS exigeix que només hi hagi una web i només una a la mateixa adreça IP.
No n’he parlat, però els qui han hagut de configurar un servidor amb un certificat SSL saben que no és una tasca fàcil. Vosaltres, com a usuaris, penseu que la vida a internet us serà molt més fàcil i segura.