Facebook, connessione HTTPS per tutti

Da ieri Facebook usa esclusivamente il protocollo HTTPS. Gli utenti vedranno quindi il simbolo del lucchetto della barra degli indirizzi del browser. Ciò significa che la connessione con i server del social network avverrà attraverso un canale sicuro basato sul protocollo crittografico TLS (Transport Layer Security). La feature era stata introdotta come opzione circa due anni fa e, da allora, è stata attivata da oltre un terzo degli utenti. Tutto il traffico verso il sito proveniente da computer e app mobile sarà maggiormente protetto contro attacchi man-in-the-middle.

Gli ingegneri di Facebook sottolineano che il passaggio da HTTP a HTTPS è più complicato di quello che potrebbe sembrare, in quanto richiede l’esecuzione di diverse operazioni, non un banale redirect al nuovo indirizzo. Il cambio di protocollo non interessa solo il social network, ma anche le applicazioni. Dato che, giustamente, i browser non eseguono contenuti insicuri all’interno di una pagina HTTPS, anche gli sviluppatori devono aggiornare le loro app per supportare HTTPS. Facebook ha concesso 150 giorni di tempo per ottenere un certificato digitale.

L’uso del protocollo sicuro aggiunge un lag alla procedura di autenticazione. Sono infatti necessari due “viaggi di andata e ritorno” per completare l’handshake tra browser e server. Il tempo richiesto dipende dalla distanza tra l’utente e il data center di Facebook. Per ridurre al minimo la latenza, l’azienda di Palo Alto ha aggiornato l’infrastruttura e attivato un handshake abbreviato.

Per il prossimo autunno, Facebook ha pianificato l’introduzione di ulteriori miglioramenti sul fronte della sicurezza, tra cui chiavi RSA a 2048 bit, nuove forme di crittografia e il pinning dei certificati.