Open in app

Sign in

Write

Sign in

Gli operatori telefonici italiani e l’HTTPS

Matteo Contrini
7 min readJun 20, 2018

Utilizzare il protocollo HTTPS per la sicurezza dei siti web è importante, ma non solo sulle pagine di login dove si inseriscono indirizzi email e password. Anche le cosiddette “landing page”, cioè quelle in cui l’utente arriva quando apre un sito web, devono essere protette. Il motivo è che tutto ciò che viene trasmesso su HTTP è qualcosa di cui non ci si può fidare. Immaginate un sito web che ha una homepage in HTTP e un link “Premi qui per accedere”. Ci possiamo fidare di quel link? No…

Ho controllato i siti web dei principali operatori di telefonia fissa italiani, in particolare Vodafone, Fastweb, Infostrada (Wind Tre), Tiscali e TIM. I risultati lasciano desiderare, a dir poco.

Breve nota: d’ora in poi scriverò “http” e “https”, in minuscolo, per alleggerire l’impatto visivo dell’acronimo scritto in maiuscolo.

Le informazioni sono aggiornate al 24 luglio 2018. In seguito alla pubblicazione dell’articolo originale, quasi tutti i problemi elencati qua sono stati risolti. Coincidenza? Probabilmente sì.

Vodafone

L’apertura di vodafone.it porta alla versione http di www.vodafone.it. Non viene forzato l’utilizzo dell’https, che anzi viene disabilitato. Provare ad usare l’https è impossibile: https://www.vodafone.it porta alla versione http non sicura, mentre https://vodafone.it ritorna un errore di certificato perché il certificato non include il dominio vodafone.it tra quelli riconosciuti (davvero).

AGGIORNAMENTO (24 luglio 2018): il problema è stato risolto, il dominio principale di Vodafone è ora accessibile solo via https, nel senso che provando ad aprire la versione http si verrà mandati a quella https. Inoltre il grado della configurazione (vedi sotto) è ora B su una scala che va da A a F.

A questo punto la domanda è: a cosa serve un certificato che viene usato solo per fare un redirect? Fortunatamente la pagina di login è protetta con https e l’uso del certificato è forzato, cioè non c’è modo di fare login senza https. Vale la stessa cosa per la fase di attivazione delle offerte. La versione https del dominio eshop.vodafone.it viene forzata nel momento in cui vengono richiesti i dati personali. (nonostante alcuni passaggi vengano fatti in http…)

Ma andiamo a vedere quanto è configurato bene questo certificato… SSL Labs assegna grado F in una scala che va da A a F. Non ci siamo.

La classificazione di www.vodafone.it secondo SSL Labs

Altre due note:

  • la verifica copertura per la rete fissa è servita solo su http, per cui indirizzo e numero di telefono vengono trasmessi in chiaro sulla rete
  • la pagina di verifica attivazione è servita sia in http che in https, ma quest’ultimo non viene forzato. C’è di più: il modulo (dove si inserisce il numero di telefono cellulare) non funziona se si usa la pagina http, ritornando un errore generico. Da notare che la homepage di Vodafone porta alla pagina di attivazione in versione http e non https. Ben fatto
La pagina “controlla lo stato di attivazione” in versione HTTP

[VECCHIO] Voto: 1 su 5. Il certificato viene forzato solo sulla pagina di login e su poche altre, ed è pure configurato male. Di conseguenza alcuni passaggi dell’attivazione di un‘offerta vengono fatti in http.

AGGIORNAMENTO (24 luglio 2018): risolto il problema sul dominio principale e migliorata la configurazione https. Ci sono ancora un paio di problemi, perché il certificato non include il dominio vodafone.it ma soltanto www.vodafone.it, e la pagina per verificare l’attivazione è ancora disponibile in http con i problemi descritti sopra. Nuovo voto: 3 su 5.

Fastweb

L’apertura di fastweb.it porta alla versione http. Provando ad aprire https://www.fastweb.it si arriva in un buco nero perché il dominio non risponde. Inoltre https://fastweb.it porta a http://www.fastweb.it . Ha senso vero? In breve, anche con Fastweb usare l’https è impossibile.

Anche in questo caso la pagina di verifica copertura è servita esclusivamente in http, per cui tutte le informazioni personali vengono trasmesse in chiaro.

Ma attenzione, sta per andare peggio: il dominiowww.i-miei-documenti.fastweb.it, che serve per caricare documenti come carta d’identità e fatture in caso di migrazione da altro operatore, risponde sia su http che su https, ma https non viene forzato. Sta per andare ancora peggio: nel momento in cui scrivo il certificato è scaduto da 71 giorni.

Il certificato Fastweb scaduto da due mesi

A questo punto è poco rilevante il fatto che senza www il sito non sia raggiungibile…

AGGIORNAMENTO (23 giugno 2018): in seguito alla segnalazione del problema tramite Twitter (20 giugno) il certificato è stato rinnovato in data 21 giugno 2018.

AGGIORNAMENTO (29 giugno 2018): mi sono accorto per caso che l’uso dell’https sulla homepage di Fastweb viene ora forzato. Non è più possibile utilizzare il sito in http, nemmeno volontariamente. Rimane il problema del sottodominio “i-miei-documenti”, che è ancora accessibile in http.

Cose positive:

  • la pagina di verifica attivazione, così come la pagina di login e l’area riservata sono raggiungibili solo con https, che viene forzato nel caso in cui non venga usato
  • il certificato principale risulta di grado A secondo SSL Labs

[VECCHIO] Voto: 0 su 5. Seppur correttamente configurato, il certificato viene utilizzato soltanto per la pagina di login e l’area riservata. Il certificato scaduto sul dominio per inviare documenti riservati è il colpo di grazia che fa abbassare il voto a zero.

[VECCHIO] AGGIORNAMENTO (23 giugno 2018): il problema del certificato è (per ora) risolto. Resta il fatto che è impossibile usare il sito principale in https. Allineo il voto a quello di Vodafone. Nuovo voto: 1 su 5.

AGGIORNAMENTO (29 giugno 2018): non so se questo articolo abbia avuto un effetto, ma in seguito alla sua pubblicazione Fastweb ha risolto quasi tutti i problemi evidenziati. Complimenti! Rimane ora soltanto il problema del sottodominio “i-miei-documenti”, ancora accessibile in http. Una volta risolto quello ci siamo. Nuovo voto: 3 su 5.

Infostrada

L’intero sito web (dominio infostrada.it) viene servito su https in modo forzato.

Secondo SSL Labs, però, la configurazione è migliorabile:

La classificazione di infostrada.it secondo SSL Labs

Voto: 4 su 5. Ottimo lavoro ;) un piccolo aggiustamento della configurazione https ed è perfetto.

Tiscali

Il sito per le offerte per il fisso (casa.tiscali.it) è disponibile sia in http che in https, ma la versione https non viene forzata. Non è nemmeno abilitato HSTS per cui anche dopo aver aperto la versione https è possibile tornare su quella http tranquillamente.

Anche qua la verifica copertura viene fatta tramite http a meno che non si scelga manualmente di aprire il sito in https.

AGGIORNAMENTO (29 giugno 2018): ora l’https viene forzato su tutte le pagine del sito. Bene!

La pagina di login e tutto il processo di attivazione offerte (che avviene sul dominio selfcare.tiscali.it) sono serviti solo su https, nel senso che se si prova ad usare il dominio in http, non si apre. È una scelta forse condivisibile, dato che sono pagine che solitamente non si accedono direttamente ma solo tramite link.

La pagina di login su http

Configurazione buona (grado A), secondo SSL Labs.

[VECCHIO] Voto: 2 su 5. L’https andrebbe forzato su tutte le richieste, in modo da proteggere operazioni come la verifica copertura. La pagina di login non basta!

AGGIORNAMENTO (29 giugno 2018): https ovunque, finalmente. Non vedo attualmente motivi per non dare voto 5 su 5 :)

TIM

La navigazione è forzata in https sulle pagine del dominio principale, ma c’è un problema. Il certificato https non include tim.it (senza www) tra i domini riconosciuti, per cui alcuni browser particolarmente sensibili come Firefox Focus si rifiutano di aprire https://tim.it .

TIM.it in https senza www in Firefox Focus

Ma c’è un altro problema, più grave: la pagina per l’attivazione delle offerte, che corrisponde al dominio ecommerce.tim.it, è accessibile tramite http. È inammissibile che l’inserimento dei dati personali possa essere fatto in http.

Anche qua la pagina di login è accessibile soltanto tramite https, mentre in http non risponde. Vale la considerazione fatta sopra con Tiscali, quindi va bene.

Infine, il grado di valutazione del certificato secondo SSL Labs è B.

Voto: 1 su 5. Andava tutto abbastanza bene finché non ho scoperto che l’attivazione delle offerte è consentita in http. Per me non ci siamo. Il voto non è zero solo perché se si segue la procedura per attivare un’offerta partendo da tim.it si riesce a fare tutto il processo in https.

E adesso?

Ho segnalato alcune delle problematiche più gravi, in particolare a Vodafone, Fastweb, TIM e Tiscali. Vedremo cosa succede.

AGGIORNAMENTO (23 giugno 2018): il giorno successivo alla segnalazione a Fastweb il problema specifico segnalato è stato risolto. Non ho ancora ricevuto risposta tramite Twitter.

AGGIORNAMENTO (29 giugno 2018): Fastweb e Tiscali hanno aggiornato le loro configurazioni per forzare l’https sui domini (www.)fastweb.it e casa.tiscali.it . Bene! Vodafone rimane purtroppo un disastro nonostante mi abbiano detto che la segnalazione è stata passata a chi di dovere.

AGGIORNAMENTO (24 luglio 2018): Vodafone ha finalmente risolto il problema con https sul dominio principale, ma rimangono alcuni altri problemi…

Chi vince?

Nella versione originale dell’articolo, il verdetto era ovvio. Infostrada ha una configurazione essenzialmente perfetta. Utilizza un solo dominio (www.infostrada.it) per tutte le operazioni, e il dominio è configurato bene, forzando sempre e comunque la versione https.

Si è aggiunta in seguito Tiscali, che ha ora voto 5 su 5, dato che costringe ad usare l’https su tutte le pagine del sito e non ha altri gravi problemi.

Security
Https

--

--

Matteo Contrini

Written by Matteo Contrini

256 Followers

My blog has moved to https://blog.contrini.it

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams