Il certificato SSL è una sorta di carta di identità di un sito web. La Certificate Authority (CA), letteralmente Autorità Certificativa, cioè l’ente ufficiale dove si acquisisce il certificato, ha verificato l’identità precedentemente ed è responsabile della correttezza dei dati. I certificati SSL vengono depositati sul server e ogni volta richiamati, quando l’utente visita un sito web migrato sul protocollo HTTPS. Ci sono diversi tipi di certificati, che si differenziano per il tipo di identificazione:
- Certificato SSL Domain Validation (DV) – gratuiti e a pagamento:
Questi sono i certificati con il livello di autentificazione più basso. Qui la CA verifica solamente se il richiedente sia in possesso del dominio corrispondente per il quale vorrebbe acquisire un certificato. Le informazioni dell’azienda non vengono controllate nella verifica, perciò con la convalida del dominio rimane un rischio residuo. Grazie a un minor impegno per l’autenticazione, il certificato viene, in generale, rilasciato in fretta dalla CA ed è inoltre il più conveniente tra i tre tipi di certificato SSL, spesso totalmente gratuito, come nel caso di Let’s Encrypt.
I certificati DV sono adatti per i siti web, nei quali la fiducia e la credibilità giocano un ruolo secondario e non esiste alcun rischio di phishing o di truffa.
- Certificato SSL Organization Validated (OV) – a pagamento
Questo tipo di verifica è più completa e per questo più sicura di una convalida di dominio. Oltre al proprietario del dominio la CA verifica anche informazioni rilevanti sull’azienda, come ad esempio la registrazione nel registro delle imprese. Le informazioni verificate dalla CA sono visibili dal visitatore del sito web, cosa che rafforza la fiducia nel sito web e nell’azienda. Per via del processo di verifica più impegnativo, il certificato SSL Organization Validated è più caro di quello Domain Validated, ma offre un grado di sicurezza più alto.
Questo certificato è adatto per i siti web dove non si fanno transazioni con dati sensibili.
- Certificato SSL Extended Validation (EV) – a pagamento
Questo è il certificato con il livello di autenticazione maggiore e più completo. Rispetto al certificato OV le informazioni aziendali vengono verificate ancora più dettagliatamente tramite criteri di assegnazione rigorosi. Inoltre questo certificato viene rilasciato solo dalla CA autorizzata. La verifica dettagliata dell’azienda garantisce il livello di sicurezza più alto e con questo rafforza la fiducia e la credibilità nel sito web. Allo stesso tempo il certificato Extended Validation comporta il costo più alto.
Questo certificato è adatto ai siti web che, ad esempio, trattano con informazioni di carte di credito o altri dati sensibili.
Con la seguente grafica si può meglio comprendere quali certificati sono validi per determinati siti web: