Navigaweb.net logo

Aggirare Avviso Sito Non Sicuro: Guida e Codici Segreti

Aggiornato il: Scritto Da: - @pomhey
Chrome contrassegna i siti sicuri in HTTPS ed i siti non sicuri che non hanno connessione protetta, a cui non si devono inviare password e dati
Pagina non sicura Per migliorare la sicurezza generale quando si naviga su Internet Google controlla tutti i certificati HTTPS, così da poter sapere chi ha certificato quei siti. Per forzare gli amministratori dei siti web a passare a HTTPS Google contrassegna come "non sicuri" tutti i siti senza cifratura (quindi in HTTP). Google Chrome ha progressivamente inasprito la sua battaglia contro il protocollo HTTP, arrivando a trattare vecchi siti web amatoriali o portali della pubblica amministrazione non aggiornati quasi come fossero malware.

Non siamo necessariamente di fronte a un attacco hacker. Nella maggior parte dei casi, si tratta di una discrepanza tra gli standard di sicurezza moderni pretesi dal browser e la configurazione obsoleta del server che ospita il sito. Comprendere la differenza tra un pericolo reale (come un sito di phishing) e un errore tecnico permette di recuperare l'accesso alle informazioni desiderate senza timori ingiustificati.

LEGGI ANCHE: Cosa fare in caso di errore certificato di protezione SSL del sito

Significato dell'avviso e Modalità HTTPS-First

Fino a qualche anno fa, il protocollo HTTP era lo standard. Oggi, Chrome utilizza una modalità chiamata HTTPS-First. Quando si digita un indirizzo web, il browser tenta automaticamente di connettersi alla versione cifrata (porta 443). Se questa fallisce o non esiste, appare l'avviso Non sicuro.

I siti HTTPS crittografano i dati che vengono trasmessi tra il dispositivo e i loro server, proteggendo gli utenti da attacchi informatici. HTTPS offre anche un altro vantaggio, perché nasconde il percorso completo delle pagine web che visitiamo così che nessuno nessuno, nemmeno il nostro fornitore internet, potrà vedere quale pagina stiamo leggendo.

Questi siti non possono certificarsi da "soli", ma necessitano di un certificato rilasciato da una società indipendente specializzata nella certificazione sicura dei siti; una volta ottenuto il certificato SSL essi risulteranno come sicuri su tutti i browser, visto che l'azienda provvederà a verificare sempre l'identità del proprietario del sito (o dell'azienda che lo possiede) prima di rilasciare un certificato.

Esistono tre errori principali che l'utente si trova a fronteggiare:

  • Sito HTTP semplice: Nella barra degli indirizzi appare la scritta "Non sicuro". La connessione non è cifrata. Chiunque sulla rete locale può vedere cosa state guardando. È sicuro per leggere, pericoloso per inserire password.
  • Certificato non valido (Errore SSL): Qui scatta il blocco a tutto schermo ("La tua connessione non è privata"). Il sito ha provato a identificarsi in modo sicuro, ma il suo "documento di identità" (il certificato) è scaduto, intestato a un altro dominio o emesso da un ente sconosciuto.
  • Contenuto Misto (Mixed Content): Il sito è sicuro, ma carica immagini o script da fonti non sicure. Chrome potrebbe bloccare il caricamento di queste parti rendendo la pagina "rotta".

Come visitare un sito bloccato (Lato Utente)

Se l'obiettivo è consultare una pagina informativa e si è certi della sua legittimità, esistono metodi per aggirare i blocchi di Chrome. È fondamentale non inserire mai dati personali (email, carte di credito) dopo aver forzato questi blocchi.

Il metodo standard: "Procedi comunque"

Quando appare la schermata rossa di errore (spesso con codici come NET::ERR_CERT_AUTHORITY_INVALID o NET::ERR_CERT_DATE_INVALID), l'opzione per entrare è nascosta. Bisogna cliccare sul pulsante Avanzate in basso a sinistra. Si aprirà una descrizione tecnica dell'errore e, in fondo, apparirà un link cliccabile: Procedi su [nomesito] (non sicuro).

Il trucco segreto: "thisisunsafe"

Esiste una procedura di sblocco non documentata nei menu, pensata dagli sviluppatori di Google per bypassare rapidamente i controlli durante i test. Se il pulsante "Procedi" non è disponibile (accade con errori HSTS gravi), si può usare questo metodo.

Cliccando in un punto qualsiasi dello sfondo della pagina di errore rossa (senza selezionare nulla nella barra degli indirizzi), bisogna digitare sulla tastiera la parola magica:

thisisunsafe

Non apparirà alcuna casella di testo mentre si scrive. Appena terminata la digitazione, la pagina si ricaricherà automaticamente permettendo l'accesso. Seguire la rotta di Navigaweb significa conoscere anche queste scorciatoie da "power user", utili quando si deve accedere a vecchi pannelli di configurazione di router o stampanti di rete che usano certificati obsoleti e non aggiornabili.

Disattivare la modalità "Usa sempre connessioni sicure"

Se si naviga spesso su vecchi siti, l'eccesso di zelo di Chrome può essere frustrante. Si può allentare la sicurezza:

  1. Aprire le Impostazioni di Chrome (tre puntini in alto a destra).
  2. Andare su Privacy e sicurezza e poi su Sicurezza.
  3. Scorrere fino in fondo e disattivare l'interruttore Usa sempre connessioni sicure.

In questo modo Chrome smetterà di tentare l'aggiornamento forzato a HTTPS prima di caricare la pagina, riducendo i tempi di attesa e gli avvisi sui siti che ne sono sprovvisti.

Risolvere l'errore se il PC è la causa

A volte il sito è perfetto, ma è il vostro computer a interpretare male i certificati.

Sincronizzazione Orologio

I certificati SSL hanno una data di scadenza precisa. Se l'orologio di Windows o macOS è indietro di un anno (o avanti), ogni sito sicuro sembrerà non valido. Cliccare sull'orologio nella barra delle applicazioni e selezionare Regola data e ora per attivare la sincronizzazione automatica.

Pulizia cache SSL e disattivazione QUIC

Se un certificato è stato rinnovato ma il PC ricorda quello vecchio, l'errore persiste. Su Windows: cercare "Opzioni Internet", aprire la scheda Contenuto e premere Cancella stato SSL.

Un'altra causa di errori di connessione su Chrome è il protocollo sperimentale QUIC. Per disattivarlo:

  • Digitare chrome://flags nella barra indirizzi.
  • Cercare Experimental QUIC protocol.
  • Impostarlo su Disabled e riavviare il browser.

Altre cause "sito non sicuro"

  • Protocollo HSTS: Alcuni siti (come quelli delle banche o grandi social network) usano l'HTTP Strict Transport Security. Questo è un comando inviato dal server che dice al browser: "Non provare mai ad aprirmi in HTTP". Su questi siti, il tasto "Procedi comunque" non apparirà mai, a meno che non si usi il trucco thisisunsafe (sconsigliato per l'home banking!).
  • Wi-Fi Pubblici: Se l'errore appare appena connessi al Wi-Fi di un hotel, è perché il portale di login sta cercando di intercettare una connessione HTTPS sicura per chiedere la password. Provate a visitare un sito sicuramente non cifrato, come http://neverssl.com, per far apparire correttamente la pagina di login della rete.
  • Antivirus invadenti: Alcune suite di sicurezza (come Bitdefender o Kaspersky) scansionano il traffico cifrato sostituendo il certificato del sito con il proprio. Questo spesso confonde Chrome. Disabilitare la voce "Scansione HTTPS" o "Web Shield" nell'antivirus può risolvere falsi positivi ricorrenti.

Non dimentichiamoci di tenere sempre aggiornato il browser: solo così potremo sempre ottenere l'avviso giusto quando incontriamo un sito non sicuro e avere sempre gli aggiornamenti di sicurezza per le componenti del browser.





Posta un commento


0%