Certificato SSL: spiegazione e funzionamento

Internet è un luogo meraviglioso per moltissime persone: informazioni disponibili gratuitamente, comunicazione globale, scambio di conoscenze senza limiti. Ma non tutti gli utenti del World Wide Web hanno buone intenzioni: in agguato c’è sempre chi trova nuovi modi per accedere a dati sensibili, come le password per le e-mail o l’online banking.

A questo scopo a volte vengono creati siti fraudolenti che imitano quelli di aziende rispettate, facendo cadere in trappola utenti ingenui che, senza saperlo, finiscono per fornire senza accorgersene i propri dati a terzi intenzionati a utilizzarli per scopi illeciti. Ma anche i siti più innocui possono essere un luogo dove avvengono azioni illegali: se ad esempio il collegamento tra l’utente e il server del sito web non è sufficientemente sicuro, è possibile che terzi accedano al flusso di dati.

Certificati SSL di IONOS

Proteggi il tuo dominio e ottieni la fiducia dei clienti con un sito crittografato tramite SSL!

Facile attivazione
Sicurezza
Supporto 24/7

Per proteggere gli utenti da simili imbrogli sono nati i certificati SSL standardizzati, con cui un sito web fornisce garanzie di sicurezza all’utente, o più precisamente al browser corrispondente.

Definizione

SSL sta per secure sockets layer e indica un protocollo di crittografia nello stack del protocollo TCP/IP. Un certificato SSL funge da prova di identità vincolante e contiene spesso informazioni che consentono al browser e al server di stabilire la crittografia.Tuttavia, al posto dell’SSL, ormai i certificati odierni si basano sul suo successore TLS (Transport Layer Security), anche se si continua a utilizzare il vecchio nome.

Che cos’è un certificato SSL?

Ormai i certificati non basano più sull’obsoleto SSL ima impiegano il più recente e il più sicuro TLS (Transport Layer Security). In pratica però , la maggior parte delle volte si continua ancora a parlare di certificati SSL quando ci si riferisce ai a una protezione del sito e del server con le tecniche di crittografia. Il certificato in sé è un semplice data setrecord di dati: in un file sono contenute numerose informazioni, come ad esempio il nome dell’emittente, il numero di serie o la cosiddetta impronta digitale per la crittografia. I certificati sono disponibili in diversi formati; se il proprietario del sito web desidera utilizzare un particolare certificato, lo deve installare sul server.

Per ottenere un certificato, i gestori di un sito devono rivolgersi a un’autorità di certificazione. Queste organizzazioni sono appunto autorizzate a fornire un certificato SSL, di solito dietro pagamento. Ma perché non si può semplicemente costituire una propria organizzazione? Il motivo è che questi certificati devono essere accettati anche dai produttori dei browser, come ad esempio Microsoft, Mozilla o Google, altrimenti diventano inutili. Nel momento in cui ad esempio Google ritira la fiducia nei confronti di un determinato produttore di software, Chrome non ne accetta più i certificati, come ha dovuto constatare Symantec.

N.B.

Per ulteriori informazioni sulla controversia tra Google e Symantec e su come i proprietari dei siti web si devono rapportare con i certificati del produttore vi consigliamo il nostro articolo sul tema “Sostituire un certificato SSL (Secure Socket Layer) soggetto a diffida da parte dei browser”.

Per quanto tempo è valido un certificato?

Un certificato accettato dai browser non è mai valido per sempre: ogni certificato SSL ha la propria data di scadenza, che si attesta tra i 3 e i 24 mesi. Una volta raggiunta, il  certificato va rinnovato, altrimenti i siti relativi non saranno più considerati particolarmente sicuri. Anche se il rinnovo regolare dei certificati può essere sia dispendioso in termini di tempo che di costi per i gestori del sito web, è comunque necessario. Solo se le autorità di autenticazione controllano regolarmente l'integrità, l'identità e i meccanismi di cifratura utilizzati è possibile garantire la sicurezza degli utenti.

Fatto

Nei certificati SSL è specificato il periodo di validità del certificato stesso, quindi non solo la fine della validità, ma anche l’inizio.

Certificato SSL: come funziona la crittografia?

Ci sono diverse possibilità per crittografare un trasferimento di dati. Di norma è necessaria una chiave per crittografare qualcosa ed esattamente la stessa chiave per renderlo leggibile. Su Internet però questo metodo non ha senso, poiché gli utenti entrano spesso in contatto con persone o organizzazioni con le quali non hanno mai comunicato al di fuori della rete. Di conseguenza non c’è alcun modo di trasferire una chiave senza prima inviarla non criptata tramite il mezzo pubblicamente accessibile. Pertanto i certificati SSL utilizzano un altro metodo.

Con un’infrastruttura a chiave pubblica non si crea soltanto una chiave, bensì due: una completamente pubblica e una privata. Un messaggio viene crittografato con la chiave pubblica (chiamata in inglese public key) e lo può in seguito decifrare soltanto con la private key. La chiave pubblica è quindi quella che il browser ottiene attraverso il certificato e che utilizza per crittografare. Per la codifica delle informazioni ci sono diversi metodi e anche in questo caso il server comunica le informazioni necessarie al browser attraverso il certificato.

Un metodo molto utilizzato attualmente per la codifica è ad esempio AES (Advanced Encryption Standard) con la funzione hash crittografica SHA256. Poiché tuttavia i pirati informatici sono esperti in questo campo e sempre alla ricerca di possibili falle dei meccanismi di crittografia, gli standard cambiano regolarmente. Anche i metodi dati per invincibili fino ad oggi, domani possono essere “decodificati” rivelandosi inadeguati a garantire la sicurezza.

Quali tipi di certificati SSL esistono?

Ci sono diverse tipologie di certificati SSL. Anche se ci sono diverse autorità di rilascio con i più diversi meccanismi di verifica, questi non sono i fattori determinanti. Ciò che ha più importanza è l’accuratezza della verifica del richiedente e il campo di applicazione del certificato.

Verifica

Ci sono tre modalità di verifica che si differenziano non soltanto per i tempi di elaborazione, ma anche per i costi relativi: mentre i certificati SSL della categoria Domain Validation si possono ora ottenere gratuitamente, i privati e le piccole aziende soltanto in rari casi possono permettersi i costi di una Extended Validation.

Domain Validation (DV)

La Domain Validation rappresenta il livello più basso dei certificati SSL: la verifica del personale dietro l’indirizzo web è perciò superficiale. Spesso l’autorità di certificazione manda semplicemente una mail all’indirizzo e-mail presente alla voce WHOIS. Al richiedente può ad esempio essere domandato di modificare un record DNS o di caricare un determinato file sul proprio server per segnalare il controllo del dominio.

Il processo di verifica può avvenire in modo completamente automatico e proprio per questo è da molti ritenuto non sicuro. Alcuni browser perciò etichettano separatamente un certificato SSL DV per indicare standard di sicurezza inferiori rispetto ad altri certificati. Inoltre questo tipo di certificato non fornisce ulteriori informazioni sul proprietario del sito.

Organization Validation (OV)

I certificati SSL OV si situano un gradino più in alto per quanto riguarda la sicurezza dei visitatori. L’autorità di certificazione richiede al proprietario del sito web unadocumentazione come parte della convalida, di solito dopo che la Domain Validation automatica ha avuto successo. Per quanto riguarda i documenti concretamente necessari, ciò dipende dall’organizzazione che effettua il rilascio.

Spesso ad esempio viene richiesto un estratto del registro commerciale. Inoltre alcune autorità di certificazione prendono contatto telefonico con il gestore del sito.

I certificati SSL OV offrono dunque una maggiore sicurezza agli utenti di Internet, poiché viene controllato in modo più accurato chi si celi realmente dietro un sito web. In piùoltre offrono il vantaggio di incorporare queste informazioni nel certificato stesso, rendendole quindi visibili agli utenti.

Extended Validation (EV)

I certificati SSL offerti sotto il nome di Label Extended Validation costituiscono il livello più alto di sicurezza. Con questo tipo di certificati vengono verificati i domini e le organizzazioni a esso collegati. Si controlla perciò anche se il richiedente lavora veramente presso l’organizzazione o l’azienda in questione e se ha il diritto di richiedere un tale certificato. Inoltre l’autorità di certificazione deve avere la piena autorità per rilasciare una Extended Validation. Per ricevere l’autorizzazione bisogna superare con esiti positivi la verifica da parte del CA/Browser Forum, un’associazione volontaria di autorità di certificazione e di produttori di browser.

Costi: SSL gratuito e a pagamento

Un fattore significativo nella categorizzazione e nella selezione di un certificato SSL è il costo associato al suo acquisto. Se si mette in relazione questo aspetto direttamente con i tre tipi di verifica precedenti, può essere indicato in modo approssimativosi può approssimativamente dire che  maggiore è il controllo della certificazione, maggiore sarà il costo del certificato alla fine. Dal 2015, con Let's Encrypt è stata creata un'autorità di certificazione che rilascia certificati completamente gratuiti.

N.B.

All'inizio di marzo 2020 Let's Encrypt ha dovuto ritirare più di tre milioni di certificati SSL/TLS attivi. Il motivo della disattivazione è stato un errore nel software open source Boulder utilizzato da Let's Encrypt, causato dalla verifica dei record CAA (Certification Authority Authorization). In teoria, questo errore ha reso possibile la creazione di certificati per altri domini. L'unica soluzione per le persone coinvolte è generare un nuovo certificato per ripristinare la crittografia del proprio progetto entro 24 ore.

Differenze tra certificati gratuiti e certificati a pagamento

Se si tratta di proteggere il sito web in modo che sia accessibile tramite HTTPS piuttosto che tramite l'ordinario HTTP, un certificato gratuito soddisfa i requisiti richiesti, così come un certificato a pagamento. Entrambe le soluzioni implementano il protocollo di trasferimento SSL o TLS e rendono quindi il trasferimento dei dati sicuro e vincolante per i client e i server.

Esistono tuttavia alcune differenze fondamentali tra i certificati gratuiti e quelli a pagamento, che riguardano:

  • Livello di convalida: quando si rilascia un certificato, la verifica del gestore del sito web non è molto estesa; la convalida del dominio corrisponde al tipico livello di controllo. I certificati con un livello di sicurezza più elevato sono sempre a pagamento.
     
  • Validità: la maggior parte dei certificati con costi è valida per uno o due anni. I certificati gratuiti scadono al massimo dopo 90 giorni. Quindi, se ci si affida a SSL/TLS gratuiti, si dovrà sostituire il certificato molto più spesso.
     
  • Estensione legata al dominio: un certificato SSL gratuito può sempre essere generato esclusivamente per un singolo dominio a cui è poi vincolato. Le soluzioni SSL/TLS a pagamento consentono anche certificati cross-domain che possono essere utilizzati per diversi siti web.

I vantaggi della tecnologia SSL a pagamento

Il sistema SSL a pagamento (Paid SSL) offre diversi vantaggi rispetto all'alternativa gratuita, per la quale sono già stati menzionati punti decisivi nella sezione precedente: i certificati a pagamento sono validi più a lungo e, a seconda del fornitore e del pacchetto, possono essere utilizzati anche per diversi domini. Questo non solo aumenta la flessibilità, ma richiede anche molto meno sforzo da parte del gestore del sito web. In caso di problemi, i rispettivi fornitori o autorità di certificazione forniscono come impostazione standard anche un supporto individuale, un lusso di cui gli utenti di un certificato SSL gratuito devono fare a meno.

Un altro vantaggio dei certificati SSL a pagamento è che spesso non solo l'indicazione dell'HTTPS attivo, ma anche il nome della propria azienda può essere presentato nella barra degli indirizzi del browser, a condizione che si scelga il provider e il pacchetto appropriato.

Consiglio

Su IONOS potete acquistare certificati SSL convenienti! In termini di costi e di portata, i singoli pacchetti offrono sia ai privati che alle aziende una protezione a tutto tondo attraverso una crittografia di alta qualità.

Quale modello di costo è quello giusto?

Un certificato SSL a pagamento di tipo EV è senza dubbio la soluzione di cifratura ottimale per il vostro progetto web. Tuttavia, questo tipo di certificazione può essere ottenuto solo da aziende più grandi, che in questo caso coincidono con il target a cui si punta. In linea di principio, per i progetti web nel settore delle PMI sono sufficienti certificati più economici, purché non vengano trasmessi dati altamente sensibili, come nel caso dell'online banking. Per i progetti più piccoli, in cui il trasferimento dei dati personali non ha un ruolo importante o ha un ruolo minore, i certificati SSL gratuiti sono una buona alternativa ai servizi a pagamento. Tuttavia, occorre considerare fin dall’inizio fin un maggiore sforzo amministrativo.

Campo di applicazione

Quando si richiede un certificato SSL, occorre accertarsi dell’ampiezza del raggio d’azione, ossia di quanti sottodomini rientrano nel certificato.

Single Name

Un normale certificato vale per un solo dominio, il che significa che www.example.com e tutte le pagine appartenenti a questo sito sono coperte dal certificato SSL, ma non i sottodomini. Se si vuole estendere la copertura anche a questi ultimi, bisogna richiedere un ulteriore certificato oppure acquistare un certificato jolly (wildcard).

Wildcard

Questi certificati si chiamano così (appunto jolly, come specificato sopra), perché invece di comprendere ad esempio soltanto www.example.com, valgono anche per i sottodomini, quindi anche per mail.example.com o blog.example.com, poiché vengono emessi nella formula *.example.com: l’asterisco sta a significare che si tratta di un jolly.

Multidomain

I certificati multidominio (chiamati anche certificati SAN) vanno di gran lunga oltre la copertura offerta dai certificati single name o wildcard, arrivando a comprendere fino a 100 domini. In questo modo i richiedenti possono coprire sia www.example.com che www.example.org. Ciò è possibile con una Subject Alternative Name Extension, un ulteriore campo nel certificato che contiene tutti gli altri domini.

Come si riconosce un certificato SSL?

Se utilizzate un browser corrente, potete stabilire molto facilmente se state visitando un sito garantito con SSL/TLS guardando semplicemente la barra degli indirizzi. Qui ci sono due elementi che attestano l’avvenuta crittografia: il primo è il simbolo del lucchetto e il secondo il nome del protocollo, https:// al posto di http://. La S aggiuntiva sta per Secure e segnala all’utente che all’Hypertext Transfer Protocol è stato aggiunto un livello ulteriore SSL/TLS. Nello stack del protocollo TCP/IP è stato aggiunto un ulteriore livello di crittografia, tra TCP e HTTP.

La chiave, di solito verde, è innanzitutto un segnale del vostro browser che vi avvisa che il sito web visitato è in possesso di un certificato valido. Inoltre si tratta, aspetto non noto a molti utenti, di un pulsante che conduce a ulteriori informazioni sulla sicurezza del sito. Basta un clic e si apre una finestra pop-up con informazioni sul garante del certificato, sulla crittografia utilizzata e sulla durata di validità.

Se il sito Internet su cui vi trovate non presenta alcun certificato SSL valido, non vedrete né il lucchetto verde né l’https:// nella barra degli indirizzi. Inoltre se l’utente cerca di condividere password o altri dati sensibili sul server, alcuni browser avvisano del pericolo, informando che i dati potrebbero essere intercettati da sconosciuti.

Fatto

Solo perché un sito non possiede un certificato SSL, non deve essere per forza un sito fraudolento. Tuttavia il rischio che terzi possano appropriarsi di importanti dati personali è più alto rispetto a quello che si corre sui siti che dispongono di un certificato SSL. In pratica, specialmente quando si tratta della trasmissione di dati sensibili, non si può prescindere dall’HTTPS.


Insieme ce la faremo. Noi di IONOS
#siamoquiperte
L'emergenza coronavirus è una sfida che dobbiamo vincere insieme.
In questo momento di incertezza vogliamo aiutarti a mandare
avanti la tua attività.
3 mesi omaggio
E-commerce
Crea il tuo negozio online.