La lotta di Google ai siti Web poco sicuri, combattuta attraverso Chrome, non è iniziata oggi. Negli ultimi anni il browser ha progressivamente emarginato il protocollo Http e spinto invece sull'Https, che veicola il trasferimento di dati con crittografia: di versione in versione, Chrome ha aggiunto notifiche di sicurezza per gli internauti e paletti per gli sviluppatori Web. E a partire da luglio, con la release numero 68, tutti i siti Http saranno marcati come “non sicuri”.
Ma già con l'aggiornamento odierno il browser ha compiuto un passo ulteriore, dimostrando particolare severità anche con i siti Https privi di complete garanie. D'ora in poi, infatti, Chrome mostrerà con una allerta a tutta pagina ogni qualvolta si tenti di visitare un sito Https che impieghi un certificato Ssl non inserito in un elenco di Certificate Transparency.
Quello di Google diventa quindi il primo programma di navigazione Web completamente in linea con il Certificate Transparency Log Policy, un manifesto programmatico presentato per la prima volta dalla società di Mountain View nel 2016. Le sue regole avrebbero dovuto entrare in vigore su Chrome l'anno scorso, ma fra un ritardo e l'altro stanno debuttando solo quest'anno. Centrale è il principio che riguarda le Certificate Authority, cioè le organizzazioni deputate al rilascio dei certificati Ssl per le connessioni crittografate Https: dovranno rendere pubblici i log contenenti i certificati Ssl emessi di giorno in giorno. Gli elenchi saranno. In passato questi log restavano per lo più privati, ma negli ultimi mesi la maggior parte delle Certificate Authority ha già provveduto ad adeguarsi alla Certificate Transparency Log Policy.
Chrome richiede ora che tutti i certificati emessi dal 30 aprile 2018 in poi siano a disposizione di chi sviluppa browser, delle altre autorità di certificazione e di ricercatori indipendenti, che potranno consultarli ed eventualmente investigare su possibili violazioni. La regola non si applica, invece, ai certificati rilasciati in passato. I siti Web che si avvalgono di certificati Ssl non pubblici dora in poi vengono egnalati all'internauta con una notifica. Si parte da Windows, macOS, Linux e Chrome Os, mentre in un secondo momento la policy sarà estesa anche alle versioni per Androie e iOS del browser.