Nell'alba di internet, tutte le richieste e le risposte dei siti web venivano trasferite in "testo normale". Ciò significava che potevano essere visualizzate da osservatori digitali, rendendo rischioso trasmettere dati sensibili come credenziali di accesso, numeri di carte di credito e altre informazioni personali.
A metà degli anni '90, Netscape sviluppò un protocollo di sicurezza per criptare le informazioni riservate necessarie alla distribuzione e trasferimento dei contenuti web. Tale protocollo fu nominato SSL (Secure Sockets Layer) e in seguito evolse in un altro protocollo noto come TLS (Transport Layer Security).
Sebbene SSL e TLS differiscano per capacità e architettura, entrambi garantiscono la sicurezza attraverso l'uso di una tecnologia digitale denominata certificato SSL.
Che cos'è un certificato SSL?
Un certificato SSL è un certificato digitale che autentica l'identità di un sito web e stabilisce una connessione criptata tra il sito stesso e il browser. Talvolta questo tipo di certificato è chiamato "certificato SSL/TLS" o semplicemente "cert".
I certificati SSL proteggono l'identità della connessione remota e rendono private le interazioni online, assicurando che nessuno possa leggere o modificare i contenuti condivisi attraverso la connessione sicura, eccetto il mittente e il destinatario. Un certificato SSL agisce come un passaporto per verificare l'identità del proprietario del sito web, e come una chiave per mantenere sicuri i dati degli utenti attraverso una forte criptazione.
Che cos'è un'autorità di certificazione SSL (CA)?
I certificati SSL sono rilasciati da organizzazioni chiamate autorità di certificazione. Una CA è un'organizzazione terza fidata che garantisce l'identità di un sito web. Esse sono considerate affidabili perché sono poche, ben conosciute e devono superare alti standard per operare. Esistono poco più di 100 autorità di certificazione in tutto il mondo, e sono soggette a revisioni per essere incluse come radici fidate dai fornitori di browser web e sistemi operativi.
Prima di emettere un certificato, la CA verifica le informazioni del richiedente, come proprietà del sito, nome, località e altro, secondo standard industriali consolidati. La CA firma poi digitalmente il certificato con la propria chiave privata, permettendo ai clienti di verificarlo. Per questo servizio, la maggior parte delle CA richiede una piccola quota annuale (sebbene esistano certificati SSL gratuiti offerti da alcuni host web e CA senza scopo di lucro).
Il certificato SSL stesso è un piccolo file digitale, in genere di pochi kilobyte, che viene installato sul server che supporta TLS e condiviso con altri. Questo file contiene:
- 400;">Il nome a dominio del sito per cui è stato rilasciato il certificato
- L'organizzazione a cui è stato rilasciato (il titolare del certificato)
- Il nome dell'autorità di certificazione che lo ha emesso
- La firma digitale dell'autorità di certificazione
- Eventuali sottodomini associati
- La data di emissione del certificato e la data di scadenza
- La chiave pubblica (nota: la chiave privata non viene condivisa)
Ogni volta che utilizzi un browser per connetterti a un URL che inizia con "https," o vedi un'icona di lucchetto verde nella barra degli indirizzi del browser, sai di avere una connessione TLS sicura verificata da un certificato SSL rilasciato da una CA. Cliccando sull'icona del lucchetto sarà possibile visualizzare ulteriori informazioni sul certificato SSL, sul proprietario del dominio e sulla connessione.
Anche se questo lucchetto indica che la connessione al sito è sicura, non significa necessariamente che il sito sia sicuro per l'uso. Ovvero, il fatto di connettersi in modo sicuro a un sito non garantisce che non sia controllato da soggetti malintenzionati.
Come funziona un certificato SSL?
Un certificato SSL utilizza algoritmi di crittografia per criptare i dati durante il trasferimento. Questo garantisce che qualsiasi dato trasferito tra un browser e un sito web rimanga incomprensibile per terzi.
La comunicazione sicura tramite TLS si basa su due certificati, uno pubblico e uno privato, per creare la connessione sicura.
Quando un browser tenta di connettersi a un sito web protetto da TLS, questa comunicazione viene stabilita attraverso un "handshake", ovvero una serie di comunicazioni avanti e indietro che richiedono solo pochi millisecondi. I passaggi di questo handshake sono:
- Il client (browser) si connette al sito web protetto da SSL (server).
- Il client richiede al server di identificarsi.
- Il server invia una copia del suo certificato SSL.
- Il client esamina il certificato SSL per verificare la sua affidabilità e segnala al server se è accettabile.
- Il server avvia un accordo firmato digitalmente per iniziare una sessione criptata con SSL.
- I dati criptati ora scorrono liberamente e in sicurezza tra il browser e il server.
Il primo handshake avviene utilizzando la crittografia asimmetrica, basata su chiavi pubbliche e private. Dopo la validazione, il client e il server scambiano chiavi private temporanee, utilizzate solo per la sessione. Questo permette una crittografia e decrittografia più efficienti.
Tipi di certificati SSL
Per sfruttare al meglio SSL, vuoi scegliere il certificato SSL giusto. Esistono tre tipi di certificati SSL standard:
- Certificato validato dal dominio (DV)
- Certificato validato dall'organizzazione (OV)
- Certificato con validazione estesa (EV)
Differenti certificati SSL servono a scopi diversi e hanno costi differenti.
Certificato validato dal dominio (DV)
Costo: da 0 a 99 dollari all'anno
Un certificato DV SSL coinvolge una verifica dell'identità minima e automatizzata, che stabilisce solo che il proprietario ha il controllo del dominio o sottodominio. Questo è di solito realizzato tramite email.
Un certificato DV SSL è il modo meno costoso per ottenere un cert, e la maggior parte dei certificati SSL gratuiti sono di questo tipo. Tuttavia, rappresenta il livello più basso di sicurezza del sito web. I certificati DV sono utili per blog, siti web individuali, piccole imprese o qualsiasi sito con le esigenze di sicurezza più basilari.
Certificato validato dall'organizzazione (OV)
Costo: da 100 a 999 dollari all'anno
Un certificato SSL OV offre una garanzia più forte dell'identità del portatore. Per ottenere un certificato OV, l'acquirente deve superare nove controlli di validazione.
Questo è un certificato di livello medio per le imprese, e la CA garantisce che l'organizzazione affiliata al certificato sia valida e in regola. Questo è un buon approccio per le imprese che non effettuano transazioni finanziarie o di ecommerce attraverso il loro sito.
Certificato con validazione estesa (EV)
Costo: più di 1000 dollari all'anno
Un certificato SSL EV rappresenta il livello più alto di verifica dell'identità, più adatto per le corporazioni, entità finanziarie e siti web di ecommerce. Sono coinvolti sedici controlli di validazione, incluse sia l'identità legale che la posizione fisica.
L'utente finale vede una barra del browser verde, indicando il livello più alto di verifica, oltre a ulteriori informazioni aziendali dietro al lucchetto.
Cosa fare se è necessario proteggere più domini?
Un singolo certificato SSL protegge un singolo nome di dominio. Tuttavia, molte aziende necessitano di una soluzione che protegga più nomi di dominio o sottodomini. Per queste aziende, il protocollo SSL offre due diverse soluzioni: un certificato SSL wildcard o un certificato SSL multidominio.
Certificato SSL wildcard
Costo: varia
Alcune aziende utilizzano più sottodomini (ad esempio, mail.esempio.com, negozio.esempio.com) per svolgere diverse funzioni sullo stesso sito web. Per queste organizzazioni, la soluzione SSL migliore è tipicamente un certificato SSL wildcard. Un certificato SSL wildcard protegge il dominio principale del sito web, così come i sottodomini associati, riducendo i costi e semplificando l'amministrazione.
Certificato SSL multidominio
Costo: varia
Mentre i certificati SSL wildcard aiutano a proteggere i sottodomini all'interno di un singolo dominio, i certificati SSL multidominio (MDC) possono essere utilizzati per proteggere più nomi di dominio contemporaneamente. È possibile aggiungere ulteriori domini a un certificato multidominio tramite "nomi alternativi del soggetto" (SAN) senza la necessità di acquisire un ulteriore certificato SSL per singolo dominio. I certificati SSL multidominio sono talvolta noti come certificati per comunicazioni unificate (UCC).
Come ottenere un certificato SSL
Il processo di acquisizione di certificati SSL per singolo o per più domini e per proteggere i dati degli utenti sul tuo sito web può essere complesso. Ecco come fare.
- Determina il livello di sicurezza del sito web necessario. Scegli tra DV, OV o EV SSL. (Se hai più domini o sottodomini, potresti avere bisogno di aggiungere o sostituire un cert cert wildcard o MDC.) Rivolgi i tuoi bisogni organizzativi e il budget e scegli il livello di verifica dell'identità appropriato.
- Determina quali domini e sottodomini devono essere supportati. Se ne hai solo uno, potresti non aver bisogno di ottenere un certificato wildcard.
- Scegli un'autorità di certificazione/fornitore. Per esigenze meno elevate, potresti solo avere bisogno di collaborare con il tuo provider di hosting web e ottenere un cert gratuito. I certificati multi-dominio ed EV comportano una relazione a pagamento con un'autorità di certificazione. Confronta le opzioni disponibili.
- Richiedi un certificato dal tuo provider SSL scelto. Questo generalmente comporta la compilazione di moduli web e il pagamento.
- Verifica la proprietà e altri dettagli. L'autorità di certificazione seguirà per verificare le informazioni che hai inviato nella tua domanda, richiedendo al minimo una verifica via email della proprietà del dominio.
- Ottieni e installa il certificato. Questo passaggio dipende dall'CA che hai scelto e dalla tua piattaforma web. Generalmente, scaricherai un file ZIP contenente tre chiavi: la chiave pubblica, la chiave privata e un bundle dell'autorità di certificazione. Se lavori con un host web commerciale, la console di amministrazione del tuo sito includerà solitamente strumenti per l'installazione del certificato. Se lavori sul tuo hardware, più vicino al sistema operativo e al server web, segui la documentazione per quell'ambiente.
- Configura altre app per usare il certificato. Se intendi supportare connessioni SSL ad altre applicazioni sui tuoi server (ad esempio, WordPress, email, ecc.), dovrai configurarle per utilizzare il tuo certificato e il protocollo TLS.
- Conferma che la tua connessione sicura funziona. Connettiti al tuo sito web e/o ad altre app e assicurati di avere una connessione sicura. Clicca sul lucchetto e verifica le informazioni visualizzate nel tuo browser.
- Invia il tuo/i sito/i ai motori di ricerca. I tuoi nuovi siti web "https" sono distinti dai tuoi vecchi siti "http". Se i tuoi utenti si affidano ai motori di ricerca per trovarti, dovrai reinviare il tuo nuovo indirizzo web https ai motori di ricerca affinché possano indicizzarlo.
FAQ sui certificati SSL
Un certificato SSL è necessario?
Un certificato SSL è necessario per ogni sito web che richieda agli utenti di inserire informazioni personali. Anche se il tuo sito non gestisce dati sensibili, i certificati SSL sono vivamente consigliati: i motori di ricerca penalizzano i siti senza di essi e i browser avvisano gli utenti dei siti non sicuri, risultando in una perdita di traffico.Come ottengo un certificato SSL?
- Determina il livello di sicurezza richiesto.
- Identifica i domini e i sottodomini da supportare.
- Scegli un'autorità di certificazione/fornitore.
- Richiedi il certificato dal fornitore scelto.
- Verifica la proprietà del dominio e altri criteri.
- Ottieni e installa il certificato.
Qual è la differenza tra SSL e TLS?
Quali tipi di certificati SSL esistono?
- Certificato con validazione del dominio (DV)
- Certificato con validazione dell'organizzazione (OV)
- Certificato con validazione estesa (EV)
- Certificato SSL wildcard
- Certificato SSL multidominio (MDC)