Certificato SSL
La sicurezza su internet è essenziale, e uno dei pilastri della sicurezza è rappresentato dai certificati SSL. Conosciamoli meglio.
Indice
- Che cos’è un certificato SSL?
- Come funziona la comunicazione SSL/TLS?
- Perché utilizzare un certificato SSL?
- Validazione dei certificati SSL
- Tipi di certificati SSL
- Autorità di certificazione
Che cos’è un certificato SSL?
Un certificato SSL è essenzialmente un certificato digitale per un dominio. SSL è l’acronimo di Secure Socket Layer (Wiki su SSL/TLS), un protocollo creato dalla società Netscape nel 1994 durante la "preistoria di internet" (ad esempio, Google è stato fondato nel 1998). È stato creato per stabilire una comunicazione sicura e criptata su internet tra il browser dell’utente e un server web. Il certificato viene emesso da una terza parte fidata, nota come autorità di certificazione (CA), che verifica il richiedente del certificato/proprietario del server web e rilascia una "conferma". Oggi si utilizza il successore del protocollo SSL, il protocollo TLS standardizzato (Transport Layer Security), ma il termine certificato SSL rimane comunemente utilizzato.
La comunicazione sicura e l’uso di un certificato SSL erano precedentemente identificati nella barra degli indirizzi del browser dalla presenza di "https://" prima del nome del dominio, dove la lettera "S" sta per Secure (HTTPS - Hypertext Transfer Protocol Secure), e dal simbolo del lucchetto. Oggi l’uso dei certificati SSL è completamente standard, e i browser mostrano invece avvisi per i siti non sicuri.
Che cos’è HTTPS?
HTTPS è un metodo per criptare i dati (informazioni) trasmessi tra il browser e il server web. La crittografia protegge i visitatori e gli utenti del sito da intercettazioni e attacchi man-in-the-middle, in cui un hacker può rubare informazioni inviate a un sito web, come i dettagli della carta di credito o le credenziali di accesso. Un attaccante può anche iniettare contenuti dannosi o eseguire altri attacchi pericolosi. Proteggere la comunicazione con il protocollo HTTPS è ora lo standard per tutti i siti web.
Come funziona la comunicazione SSL/TLS?
Per impostare una comunicazione HTTPS sicura, avviene un processo chiamato handshake tra il browser e il server, durante il quale vengono scambiate informazioni su come procederà la comunicazione (tipi di cifratura, chiavi di crittografia, ecc.). Il certificato SSL viene utilizzato all’inizio della comunicazione, dove viene impiegata la crittografia asimmetrica per scambiare chiavi e verificare il server. In questa fase, è molto importante la fiducia nell’autorità di certificazione che emette il certificato SSL e conferma l’autenticità del proprietario. Se tutto è in ordine, la comunicazione HTTPS viene stabilita e la sicurezza dei dati prosegue utilizzando la crittografia simmetrica (crittografia e decrittografia con una singola chiave).
Puoi visualizzare il processo passo dopo passo della connessione TLS 1.3 tra un client e un server sulla pagina eccellente Illustrated TLS Connection - Every byte explained and reproduced.
La crittografia asimmetrica utilizza una coppia di chiavi di crittografia – pubblica e privata (Wiki - Crittografia asimmetrica). La chiave pubblica può essere resa pubblica, e se qualcuno cripta un messaggio con questa chiave, solo il proprietario della chiave privata corrispondente può decriptarlo. Lo stesso vale al contrario, ed è utilizzato per l’autenticazione – un messaggio criptato con la chiave privata può essere decriptato solo con la chiave pubblica corrispondente. Se sappiamo che la chiave pubblica appartiene a una determinata entità (verificata da un’autorità fidata), sappiamo anche con chi stiamo comunicando.
Perché utilizzare un certificato SSL?
Un certificato SSL è necessario per creare e garantire una comunicazione HTTPS sicura su internet. Ci sono molte ragioni per utilizzare un certificato SSL. Ma attenzione! Un certificato SSL non protegge i siti web dagli hacker. Se non si aggiornano applicazioni come WordPress o se un programmatore realizza un sito con codice di scarsa qualità, un certificato SSL non proteggerà il sito da compromissioni.
Installando un certificato SSL e proteggendo la comunicazione HTTPS, proteggiamo principalmente gli utenti, i visitatori del sito da intercettazioni della comunicazione, da iniezioni di codice dannoso nel sito o da modifiche del contenuto (inserimento di annunci, modifica dei contenuti). Questo è il motivo principale per implementare un certificato SSL anche sul più piccolo sito web con una sola pagina, dove si pensa che non ci sia nulla da proteggere.
Un motivo fondamentale per implementare un certificato SSL sono i moduli di login e altri moduli sui siti web dove vengono inseriti dati sensibili, che devono essere protetti durante la trasmissione su internet da intercettazioni, furti e abusi.
I siti web senza un certificato SSL sono etichettati negativamente come "NON SICURO" nei browser, cosa che appare molto poco affidabile.
Le nuove tecnologie possono essere utilizzate solo nei browser con comunicazione protetta. I nuovi protocolli HTTP/2+3 velocizzano significativamente il caricamento delle pagine web, e senza HTTPS non supportano tutte le funzionalità.
I certificati SSL garantiscono la conformità con le normative legali e gli standard sulla protezione della privacy e il rispetto degli standard.
Vantaggi della comunicazione HTTPS
- Comunicazione sicura tra il browser dell'utente e il server
- Protezione delle informazioni sensibili
- Utilizzo di nuove tecnologie (protocollo HTTP/2 veloce, nuove proprietà CSS)
- Autenticazione della controparte (server web)
- Vantaggi SEO per le pagine nei risultati di ricerca di Google
- Rimozione dell’etichetta "Non Sicuro" sul sito web
Svantaggi della comunicazione HTTPS
- Necessità di ottenere un certificato SSL
- Il certificato SSL deve essere rinnovato regolarmente
- Configurazione tecnica della comunicazione HTTPS
- Possibili problemi di funzionalità del sito web
Validazione dei certificati SSL
Per emettere un certificato SSL affidabile, l'autorità di certificazione (CA) effettua prima una verifica. Questo processo può essere svolto solo dal proprietario o gestore di un dominio specifico, garantendo che il certificato venga concesso solo a una parte autorizzata. Esistono tre livelli di verifica che definiscono i tipi di certificati SSL.
Certificati con validazione del dominio (DV SSL)
Per ottenere un certificato, è sufficiente verificare il dominio, che rappresenta il metodo di verifica più rapido, semplice e automatizzato. L'autorità di certificazione verifica solo la legittimità dell'accesso al dominio specificato nella richiesta del certificato. La verifica avviene inviando un'email a uno dei cinque indirizzi email del dominio: admin@, administrator@, webmaster@, hostmaster@ o postmaster@. Questi indirizzi email sono stabiliti dalle regole di verifica e non possono essere modificati. In alternativa, la verifica può essere eseguita posizionando un file generato nello spazio FTP del dominio o impostando un record DNS specifico.
Puoi visualizzare il processo passo passo della validazione del dominio sulla pagina Come funziona la verifica del dominio (certificati DV).
Certificati con validazione dell'organizzazione (OV SSL)
A differenza della validazione del dominio, questo è un processo manuale in cui l'autorità di certificazione deve verificare l'effettiva esistenza del richiedente. Il dominio viene verificato come per i certificati DV, e viene anche confermata l'esistenza dell'azienda. I dati vengono recuperati da database pubblici autorevoli, e ogni CA ha le proprie procedure di verifica.
Il vantaggio dei certificati organizzativi è la capacità di autenticare e confermare la legittimità della comunicazione, dimostrando che il sito che sto visitando appartiene all'azienda che mi aspetto.
Certificati con validazione estesa (EV SSL)
I certificati EV SSL sono i certificati SSL più affidabili. In passato, il nome dell'azienda veniva mostrato direttamente nella barra degli indirizzi verde accanto al dominio. Questo è cambiato nel 2019, e ora i certificati organizzativi sono una scelta migliore, offrendo le stesse caratteristiche a un costo inferiore.
Tipi di certificati SSL
Con il progresso, sono stati creati diversi tipi di certificati SSL, che si distinguono principalmente per il numero di domini sicuri. I vari tipi offrono anche diversi metodi di verifica.
Certificato SSL per dominio singolo
I certificati SSL per un singolo dominio sono i più comunemente ordinati. Questi certificati proteggono un dominio internet specifico. Possono essere utilizzati per siti aziendali, personali o qualsiasi tipo di progetto. I certificati SSL per dominio singolo sono emessi dalle autorità di certificazione sia per l'uso con www che senza www. Per proteggere un singolo dominio, sono adatti anche i certificati SSL più economici della nostra offerta.
Certificato SSL WildCard
I certificati WildCard, noti anche come certificati stella, offrono una caratteristica unica: la capacità di proteggere un numero illimitato di sottodomini sotto il tuo dominio principale. Risparmiano tempo e costi significativi agli amministratori di server durante l'installazione e la gestione. Nella richiesta di un certificato WildCard, specifichi un asterisco (*) prima del dominio (ad esempio, *.domainxyz.com), che consente di proteggere qualsiasi sottodominio a livello specificato.
Certificato SSL Multi-Domain
I certificati SSL multi-dominio consentono di proteggere più domini diversi con un unico certificato SSL. Questi certificati possono proteggere contemporaneamente decine di domini, anche con TLD diversi (.COM, .EU, .DE, .ES, ecc.), distinguendosi dai certificati WildCard SSL che proteggono un numero illimitato di sottodomini.
L'uso di un certificato SSL multi-dominio offre una gestione semplificata dei certificati e spesso un prezzo più vantaggioso per la sicurezza di un dominio. Sono ideali per aziende che necessitano di proteggere contemporaneamente più domini con TLD diversi. I certificati SSL multi-dominio sono anche adatti per proteggere Microsoft Exchange.
Autorità di certificazione
L'autorità di certificazione verifica la richiesta del certificato e lo emette. Ci sono molte autorità di certificazione nel mondo, ma affinché una CA sia affidabile, deve rispettare determinati standard. Questi standard sono definiti dai produttori di sistemi operativi (Microsoft, Apple) o direttamente dai produttori di browser, come Mozilla per il suo browser Firefox, che ha il proprio Mozilla CA Certificate Program e mantiene il proprio elenco di autorità fidate.
Le autorità di certificazione sono membri del CA/Browser Forum. Tra i membri ci sono non solo le CA ma anche i produttori di browser, gli sviluppatori di sistemi operativi e altre aziende IT (elenco dei membri). Questo forum svolge un ruolo cruciale nello sviluppo e nella regolamentazione dei servizi di certificazione, con proprie regole e requisiti per l'emissione di certificati che le autorità di certificazione devono seguire.
Certificati SSL sul progetto SSLmentor
Sul nostro sito troverai certificati SSL di alta qualità e affidabilità da autorità di certificazione selezionate.
Cosa fare dopo?
Torna alla Guida
Hai trovato un errore o non capisci qualcosa? Scrivici!
