Nonostante i problemi accusati nel recente passato, i certificati SSL (Secure Sockets Layer) restano ancora una delle migliori armi a disposizione di sistemisti e amministratori di sistema per garantire la sicurezza informatica delle macchine che gestiscono. Certo, non tutti sono d'accordo con questo assunto (alcuni esperti del settore dicono che i certificati SSL, a differenza del passato, non avrebbero più grandi capacità difensive e non sarebbero quindi sufficienti per mettere al riparo computer, server e siti web da exploit e attacchi DDoS), ma Google vuole continuare a investire sui Secure Sockets Layer implementandoli di default in tutti i suoi applicativi web e premiando i portali che li utilizzano assegnando loro un miglior PageRank.
Altri sono i motivi, però, a favore e contro l'adozione dei certificati SSL e dell'HTTPS nei server e nei siti web che si gestiscono.
I pro dei certificati SSL
Tra i motivi che spingono (o dovrebbero spingere) gli amministratori di sistema a sfruttare i certificati SSL nei server e portali web da loro gestiti sono, prima di tutto, dettati da ragioni di sicurezza informatica. La connessione HTTPS, infatti, garantisce che le informazioni che client e server si scambiano nel corso di una comunicazione online siano crittografate: ciò rende più difficili – se non quasi impossibili – attacchi del tipo Man in the middle. Anche se qualcuno dovesse riuscire a inserirsi nella comunicazione, infatti, non sarebbe in grado di decifrare le comunicazioni senza possedere la particolare chiave crittografica utilizzata dai due nodi della rete.
A ciò si aggiungono anche ragioni commerciali e di marketing, direttamente collegate con la decisione di Google di premiare con un più alto PageRank tutti quei portali che implementano i certificati SSL. Questi, infatti, possono essere rilasciati solo a società o singoli la cui identità sia certa e comprovata: i Secure Sockets Layer, dunque, possono funzionare a mo' di carta di identità virtuale utile a rassicurare l'utente sull'effettiva sicurezza del sito. Inoltre, la certificazione SSL è fondamentale per tutti quei siti web che si occupano di pagamenti online: senza certificato, non si ottiene il nulla osta del Payment card industry (l’insieme delle organizzazioni che gestiscono i circuiti di pagamento delle carte di credito e di debito).
I contro dei certificati SSL
Dall'altro lato della barricata, però, troviamo motivazioni altrettanto valide che sconsigliano webmaster e sistemisti ad adottare i Secure Sockets Layer. Due le principali, con una terza a fare capolino soprattutto per coloro che gestiscono un piccolo portale web ma non vorrebbero ugualmente rinunciare a offrire un più elevato standard di sicurezza informatica ai loro utenti.
Il primo motivo, e probabilmente più importante, è il cosiddetto mixed mode. Nel caso in cui il certificato SSL non sia accuratamente implementato nell'infrastruttura del portale o del web server, gli utenti potrebbero riscontrare problemi in fase di navigazione. Se, nel corso della navigazione in un portale, si dovesse passare da una pagina protetta da certificato SSL a una pagina non protetta, il browser avviserebbe immediatamente l'utente del possibile pericolo: “si sta per abbandonare una sessione di navigazione protetta” e l'internauta di turno potrebbe restare disorientato se non addirittura spaventarsi abbastanza da decidere di allontanarsi dal sito “sospetto”. Lo stesso può accadere nel caso in cui non tutti gli elementi o i moduli che compongono una determinata pagina web siano protetti dal Secure Sockets Layer: anche in questo caso il browser avviserà l'utente che parte delle sue informazioni di navigazione sono potenzialmente accessibili “in chiaro”.
In seconda battuta troviamo il problema noto con il nome di caching proxy. Molti server utilizzano strumenti che permettono di archiviare (o ridondare) alcuni contenuti di un CMS o di un portale (solitamente i più visitati) su diverse macchine così da velocizzare la navigazione e migliorare l'esperienza d’uso del sito: un sistema inefficace, però, nel caso di pagine o contenuti crittografati. Un server, infatti, può crittografare i contenuti solo nel momento in cui arriva una richiesta di connessione da parte di un nodo: in questo modo avrà a disposizione sia la chiave pubblica sia la chiave privata tramite le quali effettuare le operazioni necessarie. Per questo motivo sarà necessario affiancare ai server di caching dei server dedicati ad hoc alla crittografia dei contenuti presenti al loro interno: in questo modo si potranno eseguire tutte le richieste in arrivo, assicurando che i contenuti forniti siano correttamente crittografati. Tutto questo ovviamente implica un aumento della complessità dell’infrastruttura tecnologica a supporto del sito web nonché dei suoi costi di gestione, ulteriori sforzi ed ulteriori spese che, senza l’utilizzo dei protocolli SSL, si potrebbero tranquillamente evitare.
Infine, un’altra considerazione di carattere economico: l'acquisto di un certificato SSL ha un costo che può essere anche molto elevato. Si parte dai 1.000 dollari circa: un ostacolo a volte insuperabile per quei webmaster o gestori di server di piccole dimensioni e con un budget limitato.