Cosa succede se un sito ha un certificato scaduto

Il caso del certificato scaduto del sito di Agid è stato risolto a 24 ore dalle prime segnalazioni. Di fatto, dunque, sembra essere confermata la tesi dell’avvenuto rinnovo, ma della non corretta applicazione. Sta di fatto che questa vicenda apre le porte a un’analisi più approfondita dei rischi digitali in caso di certificato SSL scaduto di un sito online e dei possibili effetti. Anche in termini di sicurezza informatica, lato utente e non solo. Perché questo protocollo standard, in molti casi – soprattutto se riferito a portali in cui possono essere richiesti dati personali (a partire dall’autenticazione) -, è una garanzia per chi naviga.

LEGGI ANCHE > Cosa è successo al certificato del sito web di Agid?

Partiamo dalla base: cos’è un certificato SSL? Questo acronimo sta per Secure Sockets Layer ed è un protocollo di sicurezza basato sulla crittografia. Uno strumento che, quindi, serve per garantire un maggior livello di privacy (e una tutela della stessa) per quel che riguarda gli utenti che navigano in un determinato sito online. Al netto degli avvisi che i browser restituiscono in caso di assenza o certificazione scaduta, i portali che hanno attivato questo protocollo sono facilmente individuabili prendendo l’intera stringa dell’url: se è presente apparirà “https“, altrimenti comparirà “http“. Per dirla in parole povere, dunque, il certificato SSL può essere paragonato a una sorta di bollo di garanzia digitale e certifica l’identità di un sito online e – attraverso il protocollo standard, protegge la privacy delle informazioni trasmesse nel percorso che va tra il sito web stesso e gli utenti che vi navigano (e viceversa).

Certificato SSL scaduto, quali sono i rischi per i siti web

Questa doverosa premesse ci fornisce già un quadro della situazione e una risposta parziale all’interrogativo iniziale: cosa succede se un sito web ha un certificato SSL scaduto? Partiamo dai riflessi più basilari, ovvero quelli legati al comportamento degli utenti. Una persona che si collega a un portale e si trova di fronte a un messaggio di allarme e può scegliere se rinunciare alla navigazione o proseguire (a suo rischio) su quel sito, probabilmente sceglierà la prima via. Dunque, in caso di certificato SSL scaduto, il primo effetto è quello di un allontanamento degli utenti da un sito e un crollo nella fiducia. Oltre che un danno reputazionale, soprattutto se si parla di un’Agenzia governativa come Agid.

Entrando nel tecnico, invece, i potenziali rischi sono di gran lunga maggiori per quel che riguarda la sicurezza informatica. Un protocollo come SSL, infatti, rappresenta una garanzia standard per quel che riguarda la crittografia. In caso di assenza, un sito web può essere maggiormente soggetto ad attacchi informatici, come – per esempio – il man-in-the-middle o il browser-in-the-middle. In che modo? Senza una protezione crittografica, i malintenzionati possono frapporsi tra le comunicazioni tra utente e sito web. Qualora questi portali richiedessero un’autenticazione attraverso user name e password, il trasferimento di questi dati potrebbero essere intercettati. E rubati.