Google continua a rendere sempre più sicuro il proprio mondo e l’intero universo del Web con l’arma della crittografia. O meglio dell’Htst, sigla che sta per Http Strict Transport Security, un protocollo che forza i browser ad aggiornare le connessioni Http in Https. L’azienda ha fatto sapere di aver cominciato il rollout del protocollo nei suoi domini, avendo già completato la procedura per www.google.com, con l’obiettivo di estenderla poi ad altri luoghi e servizi.
Inizialmente in programma per gli ultimi mesi del 2015, l’opera ha richiesto più tempo del previsto. “Solitamente, implementare l’Hsts richiede una procedura piuttosto semplice”, ha scritto sul blog dell’azienda Jay Brown, senior technical program manager della divisione sicurezza. “A causa però delle particolari complessità di Google, abbiamo dovuto svolgere un po’ di lavoro di preparazione extra che la maggior parte degli altri domini non avrebbe richiesto”.
Oggi la maggior parte dei browser già opera in modalità “sicura”, cioè con protocollo Https, attraverso connessioni crittografate tramite Tls (Transport Layer Security) o Ssl (Secure Sockets Layer). Già lo scorso gennaio Google aveva comunicato che il 75% delle richieste inviate ai server di Mountain View veniva trasmesso su connessioni Https. Ancora più elevati erano e sono i livelli di penetrazione della crittografia nei servizi della stessa Big G, a partire dal 100% di Gmail (cioè dei messaggi di posta trasmessi e ricevuti da account Gmail).
Con l’implementazione dell’Hsts nel dominio www.google.com si fa un passo ulteriore, impedendo che gli utenti vengano dirottati tramite attacchi man-in-the-middle su siti in cui il traffico dati non è crittografato. Questo genere di attività cybercriminale punta soprattutto al furto di credenziali e di dati attraverso i cookie Http.
Altra notizia di questi giorni è l’aggiornamento del Transparency Report di gennaio con dati che arrivano al 17 luglio, cioè sostanzialmente al presente. Rispetto all’inizio dell’anno, Gmail ha confermato il 100% di traffico Https, mentre sono ulteriormente salite le quote di traffico protetto di Calendar (dal 92% al 93%), News (dal 63% al 69%), Maps (dall’83% all’86%), della pubblicità (dal 76% all’81%). Google Finanza cala, invece, dal 57% al 54%.
Ma più significativi ancora sono i dati di YouTube, svelati oggi per la prima volta: attualmente è protetto da Https il 97% del traffico, ovvero delle connessioni che si posano sulla piattaforma di pubblicazione video più popolare del Web. Google ha dovuto lavorare affinché l’Htst non creasse problemi di fruizione da dispositivi vari, considerando che a YouTube si accede non solo da computer ma anche da tablet, smartphone e smart Tv. Il residuale 3% di traffico non protetto è dovuto ai dispositivi antiquati e privi del supporto all’Https.