Avete mai sentito parlare di un certo certificato SSL? Magari, se possedete un sito web, vi è stato consigliato di implementarlo? Certo i più, soprattutto i non addetti ai lavori, non hanno la minima idea di cosa sia un certificato SSL, né quali funzioni svolga, quindi non lo considerano proprio, magari ritenendolo uno strumento superfluo. Sbagliato. Molto sbagliato. Perché? Ve lo spieghiamo subito.

Cominciamo spiegando che SSL sta per “Secure Sockets Layer”, ovvero una tecnologia di sicurezza standard globale che consente la comunicazione crittografata tra un browser web e un server web. Viene utilizzata da milioni di aziende e privati on line per ridurre il rischio di furti o manomissioni da parte di hacker e ladri di identità (ad esempio, numeri di carte di credito, nomi di utenti, password, e-mail, ecc.). In sostanza, il certificato SSL consente una “conversazione” privata tra le due parti destinate.

Per creare questa connessione protetta, un certificato SSL (indicato anche come “certificato digitale”) viene installato in un server web e serve principalmente per due funzioni:

  • Autentica l’identità del sito web (questo garantisce ai visitatori che non sono in un sito falso);
  • Crittografa i dati che vengono trasmessi.
certificato ssl cosa serve foto1

Ma tutti i certificati SSL sono uguali?

No.
Esistono molti diversi tipologie di certificato SSL, differenziate in base al numero di nomi di dominio o sottodomini di proprietà, quali:

  • Singola – protegge un solo nome di dominio o un solo nome di sottodominio;
  • Wildcard – copre un nome di dominio e un numero illimitato dei suoi sottodomini;
  • Multi-Domain – protegge più nomi di dominio.

Un’ altra caratteristica che differenzia i certificati SSL è il livello di validazione necessario, come ad esempio:

  • Validazione del dominio – questo livello è il meno costoso e copre la crittografia di base e la verifica della proprietà della registrazione del nome di dominio. Questo tipo di certificato richiede solitamente poche ore per essere attivato.
  • Validazione dell’ organizzazione – oltre alla crittografia di base e alla verifica della proprietà della registrazione del nome di dominio, vengono autenticati alcuni dettagli del proprietario (ad esempio nome e indirizzo). Per ottenere questo tipo di certificato possono servire da qualche ora ad un paio di giorni.
  • Validazione estesa – questo garantisce il massimo grado di sicurezza grazie all’ esame approfondito condotto prima del rilascio del certificato (e come specificato nelle linee guida stabilite dal consorzio governativo dell’ industria della certificazione SSL). Oltre alla proprietà della registrazione del nome di dominio e dell’ autenticazione di entità richiedente, viene verificata l’ esistenza legale, fisica e operativa dell’ entità richiedente. Questo tipo di certificato solitamente necessita anche di settimane per essere attivato.

Quali siti hanno maggiormente bisogno del certificato ssl?

Bè, definire una tipologia di siti piuttosto che un’ altra è difficile, perché in realtà tutti dovrebbero implementarlo. Se vogliamo proprio stabilire una scala di necessità possiamo dire che qualsiasi individuo o organizzazione che utilizza il proprio sito web per richiedere, ricevere, elaborare, raccogliere, archiviare o visualizzare informazioni riservate o sensibili DEVE avere il certificato SSL. Alcuni esempi di queste informazioni sono:

  • login e password;
  • informazioni finanziarie (ad esempio, numeri di carta di credito, conti bancari);
  • dati personali (ad esempio, nomi, indirizzi, date di nascita);
  • informazioni proprietarie;
  • documenti legali e contratti;
  • elenchi dei clienti;
  • cartelle cliniche.

Connessione sicura con un certificato SSL

Quando un browser tenta di accedere ad un sito web protetto da certificato SSL, il browser e il server web creano una connessione protetta utilizzando un processo denominato protocollo SSL Handshake. Questo processo è responsabile per la specifica dei metodi di crittografia e delle chiavi che verranno utilizzate per il resto delle comunicazioni. Il protocollo SSL Handshake è trasparente all’ utente finale e avviene istantaneamente.

La SSL Handshake utilizza una crittografia asimmetrica ed una crittografia simmetrica. La crittografia asimmetrica utilizza due chiavi separate, una pubblica ed una privata. La chiave pubblica viene utilizzata per la crittografia o la verifica di una firma digitale. La chiave privata invece viene utilizzata per decrittografare o creare la firma digitale. La crittografia simmetrica utilizza la stessa chiave per la crittografia e la decrittografia.

Il protocollo SSL Handshake dunque utilizza le chiavi pubblica e privata del certificato oltre ad una chiave di sessione generata durante il processo. La crittografia asimmetrica richiede una maggiore capacità di elaborazione, quindi la chiave pubblica e privata vengono utilizzate solo per creare una chiave di sessione simmetrica.

Se non avete capito nulla, forse questo elenco, passaggio per passaggio, di tutto il processo potrebbe illuminarvi:

  1. Il browser fa una richiesta ad una pagina protetta con https.
  2. Il server Web invia il certificato SSL, la sua chiave pubblica.
  3. Il browser si assicura che il certificato sia valido, sia stato rilasciato da un’ autorità di certificazione attendibile e che il suo nome sia valido per il sito a cui si connette. Se il browser si fida del certificato crea una chiave di sessione simmetrica utilizzando la chiave pubblica del server e lo invia.
  4. La chiave di sessione simmetrica viene decifrata con la chiave privata ed il server web invia una conferma crittografata con la chiave di sessione per avviare la sessione crittografata.
  5. Il server Web e il browser crittografano tutti i dati trasmessi con la chiave di sessione.

Molto più chiaro vero?

certificato ssl cosa serve foto2

Dove si può ottenere un certificato SSL?

Probabilmente la parte più importante di un certificato SSL è proprio la sua provenienza. I certificati SSL vengono rilasciati da Autorità di certificazione (CA), organizzazioni che sono attendibili per verificare l’ identità e la legittimità di qualsiasi entità che richiede un certificato.

Il ruolo dell’ autorità è quello di accettare applicazioni di certificato, autenticare applicazioni, rilasciare certificati e mantenere le informazioni sullo stato sui certificati rilasciati.

Potreste dunque acquistare i certificati digitali da un registrar di dominio o da un provider di hosting sul sito web. Oppure potreste rivolgervi a noi, giusto per andare sul sicuro.

All rights reserved Indaweb

Abilitando i cookies ci aiuterai ad offrirti una migliore esperienza di navigazione!

Su questo sito facciamo uso di cookies. I cookies tecnici sono obbligatori, ma tu puoi decidere se abilitare o disabilitare i cookies di terze parti. Privacy Policy