E’ risaputo che uno dei problemi più grossi del protocollo HTTP (HyperText Transfer Protocol) è quello di essere poco sicuro. Infatti, tutta la comunicazione da e verso un webserver effettuata tramite questo protocollo è in chiaro, e può (virtualmente) essere letta da chiunque.

Sempre più spesso vediamo utilizzare un’estensione di questo protocollo chiamata HTTPS (HyperText Transfer Protocol over Secure Socket Layer) che utilizza una crittografia a chiave asimmetrica per rendere sicuro il protocollo HTTP.

Richard Barnes, membro del Mozilla Security Engineering team, ha proposto (tramite un post sulla mailing list ufficiale) un modo per “forzare” gli sviluppatori web a passare ad HTTPS:

In order to encourage web developers to move from HTTP to HTTPS, I would like to propose establishing a deprecation plan for HTTP without security. Broadly speaking, this plan would entail limiting new features to secure contexts, followed by gradually removing legacy features from insecure contexts.

(Al fine di incoraggiare gli sviluppatori web a passare da HTTP ad HTTPS, vorrei proporre un piano di deprecazione per l’HTTP senza sicurezza. In pratica, questo piano andrà a limitare le nuove funzionalità solo a contesti sicuri, seguito da una graduale rimozione delle funzionalità in essere dai contesti insicuri.)

Richard, inoltre, ha rilasciato un documento su GoogleDoc con una bozza di piano di migrazione verso HTTPS.

Considerando che la proposta è stata fatta per vedere se la community poteva essere interessata a questo passaggio, staremo a vedere se il futuro ci porterà verso un web più sicuro.

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.