Da qualche anno Google, e non molto tempo dopo seguito dal “resto del mondo”, ha deciso che i siti web debbano essere per standard in modalità HTTPS. Ovvero muniti di un certificato, quindi rilasciato da un ente che lo rilascia, si effettua il collegamento client – server in modo criptato e virtualmente sicuro.
La motivazione è pienamente sensata, in questo modo il phishing diventa molto più complicato per chi lo deve compiere, e più facile da scoprire per chi dovesse rischiare di incapparci. In questo percorso che è durato anni si sono svolti alcuni passaggi. Ad esempio da pochi mesi non è più consentito avere una pagina che in gergo viene chiamata “mixed content”. Cioè una pagina vostra, con il certificato e la connessione HTTPS in piena regola, che però ospita elementi di terzi, ad esempio il pulsante di un social, una immagine o persino dei link verso un sito esterno al vostro.
In questo caso Google Chrome “taglia la testa al toro” nel senso che in modo del tutto arbitrario trasforma i link HTTP in HTTPS. Questo succede anche nel caso stiate digitando un indirizzo specificatamente in HTTP. Il problema però è che non tutti i siti dispongono di un certificato e del protocollo HTTPS. L’esempio più classico sono i siti in localhost, cioè quelli interni alla rete aziendale.
Se il sito interno poi dovesse essere visibile anche dall’esterno la situazione è più complessa e ne parlerò in un articolo apposito, tuttavia se avete necessità di saltare questa trasformazione Google ha previsto l’eccezione che però ha il non trascurabile svantaggio di essere esclusivamente locale. Cioè funziona sul computer in cui viene azionata, non può essere istruita a livello di sito web.
Per fare ciò è necessario recarsi a questa pagina di configurazione di Chrome: chrome://net-internals/#hsts
La pagina che viene mostrata ha una serie di opzioni, cerchiamo la sezione ( di solito è l’ultima in fondo) “Delete domain security policies” e inseriamo il sito o il dominio locale che intendiamo escludere dalla re-direzione di protocollo
A questo punto premiamo il tasto “Delete” e dovremo essere a posto. Possiamo chiudere la pagina e provare nuovamente il sito locale. Potrebbero esserci dei casi in cui è necessario cancellare le cache locali, ma in genere la procedura di cui sopra dovrebbe essere già sufficiente ad ovviare la problematica.