La sicurezza online è diventata una priorità assoluta per utenti e operatori del mondo di Internet: poter verificare con fiducia l’identità dei server cui ci connettiamo ogni giorno per leggere la posta, conoscere le ultime notizie o operare sul nostro conto corrente è indispensabile per garantire la stessa tenuta della rete, che altrimenti perderebbe credibilità e non potrebbe sostituire, come invece sta avvenendo, le interazioni fisiche. L’adozione di un protocollo di connessione sicura (SSL) ha certamente reso più facile il raggiungimento dell’obbiettivo, ma essa comporta anche la possibilità che il collegamento sia rifiutato dal browser in presenza di determinati parametri alterati, generando un messaggio d’errore che ci comunica che “la connessione non è privata” (o “protetta”), impedendoci di accedere ad uno o più siti.
In questa guida ti spiegherò come funziona questa tecnologia, e come potrai risolvere le problematiche più comuni ad essa correlate. Vedremo inoltre di individuare i comportamenti a rischio legati all’accesso a siti compromessi. Ricorda che la protezione dei tuoi dati dipende principalmente dai tuoi comportamenti, di cui sei il solo responsabile. Non forzare mai l’accesso ad un sito con problemi di sicurezza se non sei certo di cosa stai facendo, o se non sei comunque disposto a subirne le conseguenze.
Indice
- Cosa significa questo messaggio
- Perché vedo
err_cert_authority_invalid
- Questo errore di privacy è un virus?
- Quando si verifica?
- Sistemi operativi e browser che mostrano il problema
- Reti o firewall che mostrano il problema
- Come risolvere la connessione non privata in base al caso
- Come mettere tra le eccezioni un errore di privacy del browser
- Come sapere se l’errore è derivante da un attacco hacker
Cosa significa questo messaggio
Per capire cosa significhi il messaggio d’errore “la connessione non è privata”, dobbiamo fare una breve precisazione storica: che tu ci creda o no, Internet si fonda ancor oggi su protocolli e procedure non pensati, in origine, per le dimensioni clamorose che la rete ha assunto oggi, e soprattutto non concepiti per rispettare gli attuali standard di sicurezza informatica. Non dimentichiamo, infatti, che i primi nodi della rete attuale nacquero per ragioni eminentemente scientifiche, legate alla possibilità di scambiare rapidamente informazioni e risultati tra importanti centri di ricerca universitari; di conseguenza, lo stesso protocollo TCP/IP, che consente la materiale comunicazione all’interno della rete mondiale, fu sviluppato dall’Università di Stanford ben cinquanta anni fa, senza nemmeno immaginare la possibilità che, nell’era moderna, la rete sarebbe stata piena di dati personali e transazioni finanziarie.
Purtroppo, gli hacker cappello nero ed i cybercriminali hanno sfruttato ogni debolezza della rete per tentare di carpire i dati degli utenti, dalle informazioni personali fino alla password dell’home banking. Gli operatori presenti sulla rete non sono rimasti inerti difronte a queste sfide, ed hanno sviluppato dei protocolli di cifratura e delle tecnologie di sicurezza che consentono – entro certi limiti – di proteggere le connessioni più rischiose (soprattutto se vengono offerti servizi bancari o di intermediazione, etc.); mi riferisco in particolar modo ai vari sistemi di autenticazione (come ad esempio il 3-D Secure) e all’implementazione del protocollo SSL. Questa tecnologia, che opera su di una versione modificata del protocollo HTTP (chiamato HTTPS), si avvale di un complesso sistema di crittografia basato sull’uso di certificati digitali, la cui validità è garantita da un’autorità esterna (detta CA, ovvero Certificate Authority), e consente di qualificare la sicurezza della connessione.
Concretamente, quindi, se visualizzi un messaggio come “la connessione non è privata”, significa che il tuo browser – al momento di connettersi tramite HTTPS – ha ricevuto dal sito web un certificato che, per qualche ragione, è stato rifiutato dall’autorità di certificazione. Quanto al fatto che, spesso, il messaggio d’errore restituito da Chrome o Firefox o altri browser faccia riferimento alla “privacy” della connessione, si tratta di una semplificazione molto concreta di tutta la complessità informatica che sta dietro al protocollo SSL: in particolare, esso previene gli attacchi hacker condotti con la tecnica detta “man in the middle” (MITM), secondo cui un malintenzionato si interpone virtualmente tra un dispositivo di rete (uno smartphone, un tablet, un PC) e il server al quale sta cercando di connettersi, carpendo le informazioni personali inviate e ricevute. Con quel messaggio, dunque, il browser ti sta prospettando una delle possibili situazioni spiacevoli che potrebbero verificarsi con una connessione non protetta.
Perché vedo err_cert_authority_invalid
Questo tipo di sigle in Inglese rappresentano il modo con cui il protocollo SSL restituisce i messaggi d’errore nelle comunicazioni tra server.
Nella fattispecie, l’errore err_cert_authority_invalid
significa che la certificate authority che doveva verificare la validità del certificato di sicurezza del sito non è stata raggiunta, perché inesistente o momentaneamente offline.
Questo errore di privacy è un virus?
Questo errore non indica, di per sé, la presenza di un virus. È anche vero però che alcuni malware o adware potrebbero causare la comparsa del messaggio (soprattutto se non sono nel tuo PC ma sul server cui esso sta provando a collegarsi).
Si può dire quindi che siano necessarie analisi più approfondite prima di giungere a conclusioni affrettate.
Quando si verifica?
La casistica è molto varia e contempla dei falsi positivi. Ti elenco alcune ipotesi:
- Certificato SSL del server web scaduto o non aggiornato;
- Browser non aggiornato;
- Certificato SSL autofirmato, cioè privo del controllo terzo di un’autorità esterna, ma “garantito” (ovviamente con ogni limite) dallo stesso autore del certificato, solitamente titolare del sito Internet (o dell’interfaccia web su rete locale) cui stai cercando di collegarti;
- Data e ora scorretti nel tuo PC: poiché la validità dei certificati non è eterna, ed essa viene valutata in base alla data attuale, uno sfasamento tra l’ora assoluta del tuo PC e quella del server può determinare automaticamente la comparsa del messaggio d’errore. Il miglior modo per risolvere questo problema è semplicemente attivare la sincronizzazione del PC con l’ora fornita da un server (cosiddetta “ora di Internet”), attraverso il pannello di impostazione data/ora;
- In ultimo, attacco hacker o installazione di virus o malware sul PC.
Sistemi operativi e browser che mostrano il problema
Il problema può presentarsi su tutti i sistemi operativi (iOS, Android, Windows, macOS, Linux, etc.), perché solitamente i certificati sono installati sui server web e vengono gestiti dai browser (siano quest’ultimi app di tipo mobile o desktop).
Negli ultimi anni, peraltro, Firefox e Chrome – ma anche Safari, Edge o altri browser basati su Chromium – sono diventati piuttosto stringenti nella gestione di situazioni simili, di fatto impedendo all’utente medio di accedere al sito con problemi di certificazione, salvo attuare una procedura d’eccezione volutamente complessa, e continuandolo comunque a etichettare come “Non Sicuro”.
Reti o firewall che mostrano il problema
È piuttosto difficile allo stato attuale che un firewall (di tipo hardware o software) causi un problema di SSL, salvo che per una qualche ragione esso si attivi durante la procedura di scambio dei certificati, praticamente ponendosi in mezzo tra le comunicazioni intercorrenti tra client e server; in questi casi, il problema principale è capire perché ciò avvenga, e quindi se si tratti di una situazione contingente (errori di configurazione, bug momentanei, etc.) o se, piuttosto, il firewall non abbia rilevato un comportamento anomalo da parte del sito, come un reindirizzamento ad un dominio diverso per ragioni malevole (cosiddetto redirect).
Poiché l’uso del protocollo HTTPS è placidamente previsto da tutti i firewall moderni, sul presupposto che tu abbia compiuto ogni aggiornamento dovuto, ti sconsiglio vivamente di alterarne le impostazioni qualora visualizzassi il messaggio “la connessione non è privata”.
Come risolvere la connessione non privata in base al caso
Vediamo adesso una serie di casistiche in cui tipicamente si verificano errori SSL. È chiaro che ogni scenario proposto potrebbe variare, anche radicalmente, a seconda della configurazione del tuo PC, del tuo browser, ed anche del sito cui vuoi accedere, quindi dovrai adattare con giudizio i miei consigli al caso concreto.
Prima di procedere, comunque, ti consiglio di verificare l’esattezza dell’orario e della data impostati sul sistema operativo, come ti ho precisato sopra: la gran parte degli errori, infatti, deriva da questo fattore.
Sul proprio sito
Se il problema di certificazione riguarda il tuo sito web, devi necessariamente gestirlo nel rispetto del tipo di architettura adottato. Anche se in alcuni casi è possibile installare autonomamente i certificati (o è necessario farlo, nella rarissima ipotesi in cui il tuo sito non sia in hosting), poiché la stragrande maggioranza dei siti web si appoggia ad un host (come Aruba e simili), tipicamente è lo stesso ospitante che dovrà fornire i certificati o, comunque, dirti come dovrai installarli.
Il mio consiglio è quindi di rivolgerti direttamente al provider per risolvere il problema, senza cercare soluzioni “fai da te”.
Sui siti visitati
Se l’errore si verifica durante l’accesso ad un sito che non conosci, lascialo perdere (ovvero chiudi la scheda del browser oppure scegli “Torna nell’area protetta”) e non tentare di aggirare il blocco: potrebbe trattarsi di una situazione contingente (errore momentaneo) o di una vera e propria minaccia informatica eseguita lato server web (che potrebbe essere gestito da hacker o altre figure malevole). Puoi sincerartene, eventualmente, provando ad accedere al sito con un altro dispositivo, purché ovviamente il relativo browser sia aggiornato.
Invece, se il sito a cui stai tentando di accedere ti è familiare, potresti procedere nel caricamento e bypassare l’errore “la connessione non è privata”. Nella maggior parte dei casi, per fare questo, è sufficiente selezionare un’opzione mediante la quale si accettano i rischi derivanti da tale azione. Su Chrome, ad esempio, basta scegliere l’opzione Avanzate e selezionare il collegamento “Procedi su <nome dominio o indirizzo IP>
(non sicuro)”.
Sui dispositivi di rete locali
Alcuni dispositivi connessi alla rete locale, come i NAS (c. d. “dischi di rete”), le stampanti, etc., possono talvolta generare dei falsi positivi; in tal caso rivolgiti direttamente alle linee-guida del produttore, e non ti allarmare. Potrebbe trattarsi semplicemente di certificali digitali autofirmati, che appunto genererebbero errori simili.
Per risolvere, potresti:
- Installare un certificato digitale emesso da una CA terza e valido per tale indirizzo IP o dominio;
- Bypassare l’avvertenza – come ti ho suggerito nel punto precedente – o metterla come eccezione;
- Impostare una connessione HTTP (non consigliato).
Su un solo PC
Se il problema si verifica su di un solo PC verifica che esso sia aggiornato (anche a livello software, procurandoti la versione più recente del tuo browser preferito) e che non ci siano incompatibilità causate da un antivirus un po’ troppo “aggressivo”; quest’ultima ipotesi oggi è meno attuale, ma può comunque verificarsi. Al solo scopo di sincerartene (ed assumendotene tutti i rischi) puoi anche disattivare momentaneamente la protezione antivirus per capire se il problema persiste o meno.
Come mettere tra le eccezioni un errore di privacy del browser
Tutti i browser consentono, in maniera più o meno immediata, di inserire delle eccezioni attraverso la stessa pagina di blocco del sito “sospetto”. È inoltre possibile disattivare del tutto tale opzioni di sicurezza, ma non ti suggerisco di farlo, se non in un ambiente controllato o in una sandbox.
Ti faccio presente inoltre che, se il blocco può essere fortuito (errore momentaneo, bug del browser, etc.) l’eccezione sarà duratura: di conseguenza, se un domani il server venisse hackerato per qualche ragione, e non dovesse cambiare il certificato che ha causato l’errore, tu non te ne accorgeresti.
Come sapere se l’errore è derivante da un attacco hacker
Nella guida per capire se ti hanno hackerato, ti ho già dato dei consigli per verificare se il tuo dispositivo è controllato da terze persone (tramite software o app), ipotesi che potrebbe astrattamente causare degli errori nella gestione delle connessioni sicure di tipo SSL.
In concreto, però, se non riesci ad accedere allo stesso sito adoperando un altro dispositivo, e dunque il messaggio d’errore si ripresenta anche su di esso, l’ipotesi di un attacco al tuo smartphone, tablet o PC diventa improbabile, ed è invece più ragionevole credere che il problema risieda nel server del sito.