Chrome, HTTPS sarà presto il protocollo di navigazione predefinito: come attivare la feature già adesso

Chrome, HTTPS sarà presto il protocollo di navigazione predefinito: come attivare la feature già adesso

Google ha annunciato che imposterà l'HTTPS come protocollo predefinito già dalla prossima versione di Chrome. Quali saranno i vantaggi, e come avere sin da subito l'opzione

di pubblicata il , alle 17:21 nel canale Web
GoogleChrome
 

Il browser di Google sceglierà presto l'HTTPS come protocollo predefinito su tutti gli URL inseriti nella barra degli indirizzi. La novità verrà implementata per tutti gli utenti a partire dalla prossima versione stabile di Chrome, dopo un periodo di test pubblico della durata di un mese avvenuto per alcuni utenti dei canali Canary, Dev o Beta del browser di Big G.

La modifica verrà distribuita su Chrome Desktop e Chrome per Android con la versione 90 attesa al debutto il prossimo 13 aprile, mentre su iOS verrà implementata successivamente con tempistiche non ancora ufficializzate dal team di sviluppo. L'obiettivo è di aumentare ulteriormente la sicurezza di navigazione per gli utenti, impedendo ad eventuali aggressori esterni di intercettare il traffico non crittografato gestito dal browser. In più, selezionando HTTPS come protocollo predefinito tutti i siti che lo utilizzano già verranno caricati più velocemente da Chrome.

L'azienda ha spiegato come funzionerà Chrome a partire dalla release 90:

"Chrome utilizzerà di default l'HTTPS per la maggior parte delle navigazioni che non specificano un protocollo. Oltre a essere un miglioramento deciso in fatto di sicurezza e privacy, questa novità migliorerà la velocità di caricamento iniziale dei siti che supportano HTTPS, visto che Chrome si collegherà direttamente all'endpoint HTTPS senza dover eseguire un redirect da http:// a https:// .

Per i siti che non supportano ancora HTTPS, Chrome ripiegherà sulla versione HTTP, anche nel caso in cui il tentativo di caricare la versione HTTPS fallisse  (ad esempio quando avvengono errori nei certificati, come name mismatch o certificati self-signed non attendibili, o ancora in seguito a errori di connessione o nella risoluzione del DNS".

Chrome, protocollo HTTPS di default: come attivare subito

Per chi volesse provare in anticipo il nuovo approccio di Chrome la stessa Google ha fornito una procedura semplificata. E' necessario inserire infatti la stringa chrome://flags/#omnibox-default-typed-navigations-to-https nella barra degli indirizzi e abilitare HTTPS come protocollo di navigazione predefinito. Fra le opzioni è possibile inoltre dare al browser 3 o 10 secondi di tempo per determinare la disponibilità del protocollo HTTPS per ogni nuovo URL inserito. Qualora non venisse trovata nel tempo prestabilito Chrome passerà direttamente alla versione HTTP.

13 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cfranco25 Marzo 2021, 20:10 #1
Google sta diventando come Microsoft
A ogni aggiornamento toglie qualche funzionalità e ti dice che è un miglioramento
omihalcon25 Marzo 2021, 20:59 #2
E la sta imitando nel peggiore dei modi: sarebbe ora che inserire funzionalità corregga quelle presenti ovvero quella m.rda di system webview che non si aggiorna alla faccia di tutte le guide risolutive su internet (che non funzionano) e che probabilmente la versione non è compatibile con le applicazioni installate al 100% visto che crasha ancora, outlook app non aggiorna in contenuto e non si aggancia ad exchange...
Tasslehoff25 Marzo 2021, 22:18 #3
Ma deo gratias che c'è chi (forte della popolarità del suo browser, e non certo in modo disinteressato) cerca di dare una raddrizzata alle tante assurdità, tipo che nel 2021 esistano ancora servizi esposti in http...

Ma non solo, semmai non ve ne foste accorti i gruppi di sviluppo di Chrome e Firefox sono gli unici rimasti a vigilare sulle certification authorities che rilasciano certificati https, se non ci fosse il loro apporto ci ritroveremmo con CA che fanno le peggio porcate e nessuno verrebbe a saperlo se non a danno fatto...

Giusto con la release 90 sarà revocata la CA Camerfirma (società controllata da Infocert) che dal 2018 ha fatto una porcata dietro l'altra senza che nessuno intervenisse.
Quando verrà rilasciata quella release succederà un pandemonio (perchè saranno revocate CA - tra cui quella di Infocert - che hanno rilasciato certificati per un'infinità di servizi pubblici) ma almeno ci libereremo di un manipolo di cialtroni.
cdimauro26 Marzo 2021, 06:29 #4
Originariamente inviato da: Tasslehoff
Ma deo gratias che c'è chi (forte della popolarità del suo browser, e non certo in modo disinteressato) cerca di dare una raddrizzata alle tante assurdità, tipo che nel 2021 esistano ancora servizi esposti in http...

Perché sarebbe un'assurdità? Per me vale l'esatto contrario: è un'assurdità pretendere di imporre HTTPS ovunque, anche quando non ce ne sia bisogno.

Esempio: se mi voglio vedere un video in streaming, che senso avrebbe passare da HTTPS? HTTP va benissimo per questi scopi: la crittografia di tutti quei dati è del tutto inutile, e anzi appesantisce la comunicazione perché richiede risorse extra sia lato server sia lato client per criptare e decriptare quei dati.
Tasslehoff26 Marzo 2021, 11:32 #5
Originariamente inviato da: cdimauro
Perché sarebbe un'assurdità? Per me vale l'esatto contrario: è un'assurdità pretendere di imporre HTTPS ovunque, anche quando non ce ne sia bisogno.

Esempio: se mi voglio vedere un video in streaming, che senso avrebbe passare da HTTPS? HTTP va benissimo per questi scopi: la crittografia di tutti quei dati è del tutto inutile, e anzi appesantisce la comunicazione perché richiede risorse extra sia lato server sia lato client per criptare e decriptare quei dati.
Dai sappiamo entrambi che questo sovraccarico computazionale alla fine dei conti è trascurabile per l'utente e di fatto anche per il provider dei contenuti.
Come sempre è un compromesso tra costi e benefici e i benefici di una connessione cifrata sono infinitamente superiori ai costi, non solo per la cifratura in se ma anche per la protezione intrinseca sulla compromissione del dato nella tratta tra client e server.

Oltre a questo sappiamo benissimo che se qualcuno non fa qualcosa per sanare questa situazione assurda (2 protocolli da gestire per ogni servizi esposto a web) continueranno a esistere servizi critici esposti in chiaro, dove non sarà il video in streaming (che cmq oggi porta con se tutta una serie di dati utili ai fini di identificare l'utente a scopo commerciale, quindi a ben vedere è diventato un oggetto sensibile meritevole di cifratura imho) ma le credenziali di un utente con accessi critici o dati sensibili.

Per me è una scelta obbligata, abbiamo già intrapreso questa strada, tenere il piede in due scarpe ora come ora è già di per se un costo infinitamente superiore a qualsiasi sovraccarico computazionale, già solo gestire due protocolli diversi per ottenere lo stesso risultato è assurdo.
386DX4026 Marzo 2021, 11:45 #6
Sarà che tendo a ragionare in termini retrotecnologici, ma non si considera mai il fattore obsolescenza involontaria che automaticamente pero' si viene a creare. Ci sono dispositivi che potrebbero ancora oggi renderizzare sebbene in parte, sebbene non completamente, sebbene non perfettamente, pagine HTTP normali con browser vecchi e invece grazie alle logiche dei certificati a scadenza non possono piu'. Un esempio per dire e' provare ad usare un browser fatto per Windows 9x/2000/XP che a prescindere da video o pubblicità varie, almeno il contenuto principale (testo) di una pagina potrebbero comporlo piu' o meno in modo leggibile.
Uno potrebbe anche solo necessitare di leggere le news in formato testuale con un dispositivo di due decadi fa e l'hardware ce la farebbe se non fosse per queste logiche.
Senza poi scomodare i discorsi su cose come l'assenza di istruzione come SSE2 che praticamente archivia una marea di hardware che potrebbero ancora farcela a lavorare nell' epoca del green e del non spreco. Certo hardware ormai obsoleto ma percheè dovrebbe esserlo "a priori"? Tempo fa avevo provato che un Athlon XP se non fosse per l' SSE2 mancante grazie a SSD e GPU "moderne" potrebbe ancora essere usato come macchina home/office.
cdimauro27 Marzo 2021, 06:57 #7
Esattamente. L'imposizione di HTTPS a tutto e tutti non tiene conto delle diverse esigenze, e dell'impatto che si ha in tutti gli scenari.

Ovviamente se hai hardware potente non ci farai nemmeno caso, ma non vale per tutti, per l'appunto.

Ecco perché continuo a pensare che sarebbe meglio separare gli asset fra HTTP e HTTPS.
Tasslehoff28 Marzo 2021, 01:21 #8
Originariamente inviato da: cdimauro
Esattamente. L'imposizione di HTTPS a tutto e tutti non tiene conto delle diverse esigenze, e dell'impatto che si ha in tutti gli scenari.

Ovviamente se hai hardware potente non ci farai nemmeno caso, ma non vale per tutti, per l'appunto.

Ecco perché continuo a pensare che sarebbe meglio separare gli asset fra HTTP e HTTPS.
Beh sappiamo tutti che non è possibile garantire una retrocompatibilità infinita, non si più continuare a usare cypher suites obsolete o far passare il traffico in chiaro perchè qualcuno (che rappresenta una % insignificante del mercato) si ostina a usare IE6 o un Pentium III.
Seguendo questa logica non andrebbero mantenuti in chiaro solo i servizi dove fai una innocua get (che poi tanto innocua non è perchè se uno nella tratta fa injection di qualche script il browser non potrà mai saperlo) ma anche gli altri dove in post mandi magari informazioni critiche.

Personalmente ritengo che il sovraccarico per il client sia trascurabile, quello che imho però spesso non si considera è anche quanto lavoro e quanto spreco di risorse (hh uomo e moneta sonante) si celi dietro la gestione di due protocolli per pubblicare lo stesso servizio.
Mi tornano in mente le tante quotazioni assurde fatte da società senza scrupoli che solo per il fatto che il tal servizio vada pubblicato in http (con riscrittura in https) e https espongono il doppio delle giornate.
Doppio protocollo = doppie policy sui fw (e quindi doppia attività fatturata), doppiio vip sul balancer di turno (e quindi doppia attività fatturata), doppio virtualhost sul backend del balancer, ma soprattutto problem solving più lungo e laborioso.

Per carità, sono il primo a dire che si tratta di cretinate e che tutto questo ricarico è totalmente ingiustificato (quantomeno dal pdv economico), però questo è quello che vedo passare, e ho perso il conto delle volte che ho visto una verifica andare lunghissima perchè qualcuno ha aveva sbagliato vip andando su quello in http anzichè https, o servizi di backend incazzati esposto in http sul webserver e sul balancer di frontend in https etc etc...
Insomma imho la vita di molti sistemisti sarebbe molto più semplice (e quindi la solidità dei servizi ne guadagnerebbe) se ci liberassimo di un protocollo che di fatto è ridondante.
cdimauro28 Marzo 2021, 08:42 #9
Sì, immaginavo che dietro ci fossero problemi di gestione di non poco conto.

Probabilmente lato browser / navigazione non avrebbe più senso avere due protocolli da gestire, visto che anche il più scarso degli smartphone ormai ha enorme potenza di calcolo e sicuramente accelerazione hardware della crittografia.

Mi chiedevo se in ambito embedded/IoT non fosse ancora un problema invece, viste le scarse capacità hardware.
roccia123428 Marzo 2021, 10:06 #10
Originariamente inviato da: 386DX40
Sarà che tendo a ragionare in termini retrotecnologici, ma non si considera mai il fattore obsolescenza involontaria che automaticamente pero' si viene a creare. Ci sono dispositivi che potrebbero ancora oggi renderizzare sebbene in parte, sebbene non completamente, sebbene non perfettamente, pagine HTTP normali con browser vecchi e invece grazie alle logiche dei certificati a scadenza non possono piu'. Un esempio per dire e' provare ad usare un browser fatto per Windows 9x/2000/XP che a prescindere da video o pubblicità varie, almeno il contenuto principale (testo) di una pagina potrebbero comporlo piu' o meno in modo leggibile.
Uno potrebbe anche solo necessitare di leggere le news in formato testuale con un dispositivo di due decadi fa e l'hardware ce la farebbe se non fosse per queste logiche.
Senza poi scomodare i discorsi su cose come l'assenza di istruzione come SSE2 che praticamente archivia una marea di hardware che potrebbero ancora farcela a lavorare nell' epoca del green e del non spreco. Certo hardware ormai obsoleto ma percheè dovrebbe esserlo "a priori"? Tempo fa avevo provato che un Athlon XP se non fosse per l' SSE2 mancante grazie a SSD e GPU "moderne" potrebbe ancora essere usato come macchina home/office.


Stiamo parlando della nicchia della nicchia della nicchia, suvvia. Sono un gran sostenitore della retrocompatibilità, ma ci deve essere un limite. Fare tutto retrovomatibile con tutto, implicherebbe uno sforzo enorme dal punto di vista progettuale e una complessità allucinante dei software/sistemi. E' necessario un limite, e a tal proposito, direi che Windows 9x/2000/XP, Athlon XP e loro contemporanei, possono tranquillamente andare in pensione perchè chiaramente obsoleti (senza aggettivi. Semplicemente obsoleti).

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^