Cos'è un certificato SSL/TLS?

SSL/TLS è l'acronimo di secure socket layer and transport layer security. È un protocollo o una regola di comunicazione che consente ai sistemi informatici di parlare tra loro su Internet in modo sicuro. I certificati SSL/TLS consentono ai browser Web di identificare e stabilire connessioni di rete criptate per i siti Web che utilizzano il protocollo SSL/TLS.

Crittografia

La crittografia è la codifica del messaggio originale in modo che possa essere decrittografato solo dal destinatario previsto. Ad esempio, si cambia la parola cat in ecv spostando ogni lettera in avanti nell'alfabeto di due posizioni. Il destinatario conosce la regola (o la chiave) e inverte ogni lettera di due posizioni per leggere la parola vera e propria. La crittografia SSL/TLS si basa su questo concetto utilizzando la crittografia a chiave pubblica, con due chiavi diverse per crittografare e decrittografare un messaggio. L'infrastruttura a chiave pubblica fornisce a una parte un modo per stabilire l'identità di una seconda parte mediante i certificati, nel caso in cui entrambe ritengano attendibile una terza parte, nota come autorità di certificazione. L'autorità di certificazione verifica il certificato e autentica entrambe le parti prima dell'inizio della comunicazione.

I due tipi di chiave sono:

Chiave pubblica

Il browser e il server Web comunicano codificando e decodificando le informazioni utilizzando coppie di chiavi pubbliche e private. La chiave pubblica è una chiave di crittografia che il server Web fornisce al browser nel certificato SSL/TLS. Il browser utilizza la chiave per crittografare le informazioni prima di inviarle al server Web.

Chiave privata

Solo il server Web dispone della chiave privata. Un file crittografato dalla chiave privata può essere decrittografato solo dalla chiave pubblica e viceversa. Se la chiave pubblica può decrittografare solo il file che è stato crittografato dalla chiave privata, essere in grado di decrittografare quel file assicura che il destinatario e il mittente previsti siano quelli che dichiarano di essere.

Autenticazione

Il server invia la chiave pubblica nel certificato SSL/TLS al browser. Il browser verifica il certificato da una terza parte attendibile. Quindi, può verificare che il server Web è chi afferma di essere.

Firma digitale

Una firma digitale è un numero univoco per ogni certificato SSL/TLS. Il destinatario genera una nuova firma digitale e la confronta con la firma originale per garantire che parti esterne non abbiano manomesso il certificato mentre viaggiava in rete.

Un certificato SSL/TLS ha un periodo di validità massimo di 13 mesi. La validità del certificato SSL/TLS è stata gradualmente ridotta nel corso degli anni. L'intenzione è ridurre i rischi per la sicurezza che interessano le aziende e gli utenti del Web. Ad esempio, terze parti non attendibili potrebbero utilizzare un certificato SSL/TLS valido di un dominio scaduto per creare un sito Web non autorizzato. 

Riducendo il periodo di validità, si riducono le possibilità di un uso improprio dei certificati SSL/TLS. Alla scadenza del certificato SSL/TLS, i visitatori Web ricevono un avviso sul browser che indica che il sito Web non è protetto. L'organizzazione revoca il vecchio certificato SSL/TLS e lo sostituisce con uno nuovo. Per evitare incidenti di sicurezza, il processo di rinnovo deve avvenire prima della scadenza del certificato precedente.

I browser utilizzano il certificato SSL/TLS per avviare una connessione sicura con il server Web tramite l'handshake SSL/TLS. L'handshake SSL/TLS fa parte della tecnologia di comunicazione HTTPS (hypertext transfer protocol secure). È una combinazione di HTTP e SSL/TLS. HTTP è un protocollo utilizzato dai browser Web per inviare informazioni in testo semplice a un server Web. HTTP trasmette dati non crittografati, il che significa che le informazioni inviate da un browser possono essere intercettate e lette da terzi. I browser utilizzano HTTP con SSL/TLS o HTTPS per comunicazioni completamente sicure.

Handshake SSL/TLS

L'handshake SSL/TLS prevede i seguenti passaggi:

 

1. Il browser apre un sito Web protetto da SSL/TLS e si connette al server Web.
2. Il browser tenta di verificare l'autenticità del server Web richiedendo informazioni identificabili. 
3. Il server Web invia il certificato SSL/TLS che contiene una chiave pubblica come risposta.
4. Il browser verifica il certificato SSL/TLS, assicurando che sia valido e corrisponda al dominio del sito web. Una volta che il browser è soddisfatto del certificato SSL/TLS, utilizza la chiave pubblica per crittografare e inviare un messaggio che contiene una chiave di sessione segreta.
5. Il server Web utilizza la propria chiave privata per decrittografare il messaggio e recuperare la chiave di sessione. Quindi utilizza la chiave di sessione per crittografare e inviare un messaggio di conferma al browser.
6. Ora, sia il browser che il server Web passano all'utilizzo della stessa chiave di sessione per scambiare messaggi in modo sicuro. 

Chiave di sessione 

Una chiave di sessione mantiene la comunicazione crittografata tra il browser e il server Web dopo il completamento dell'autenticazione SSL/TLS iniziale. La chiave di sessione è una chiave di cifratura per la crittografia simmetrica. La crittografia simmetrica utilizza la stessa chiave sia per la crittografia che per la decrittografia. La crittografia asimmetrica occupa un'immensa potenza di calcolo. Pertanto, il server Web passa alla crittografia simmetrica che richiede meno calcoli per mantenere una connessione SSL/TLS.

I certificati SSL/TLS differiscono in base alla convalida e al dominio. I certificati con diversi livelli di convalida sono classificati come:

• Certificati di convalida estesa
• Certificati convalidati dall'organizzazione
• Certificati convalidati dal dominio

I certificati SSL/TLS che supportano diversi tipi di dominio sono:

• Certificato a dominio singolo
• Certificato jolly
• Certificato multi-dominio

Certificati di convalida estesa 

Un certificato di convalida estesa (SSL/TLS EV) è un certificato digitale con il più alto livello di crittografia, convalida e affidabilità. Quando si richiede un SSL/TLS EV, un'organizzazione o un proprietario Web sono sottoposti a severi controlli da parte delle autorità di certificazione. Ciò include la verifica dell'indirizzo aziendale fisico, la corretta richiesta del certificato e i diritti esclusivi per l'utilizzo del dominio. 

 

Le aziende utilizzano SSL/TLS EV per proteggere gli utenti da terze parti non autorizzate. Questo è importante quando l'azienda elabora dati sensibili sul sito Web, come ad esempio transazioni finanziarie e cartelle cliniche. Un certificato SSL/TLS EV contiene i dettagli dell'organizzazione aziendale che possono essere visualizzati su un browser.

Certificati di convalida dell'organizzazione

I certificati di convalida dell'organizzazione (SSL/TLS OV) sono secondi rispetto a EV SSL/TLS in termini di convalida e affidabilità. Come SSL/TLS EV, le aziende devono passare attraverso un processo di verifica quando richiedono SSL/TLS OV. Sebbene il processo di verifica sia meno rigoroso, i richiedenti devono dimostrare la proprietà del dominio alle autorità di certificazione.

Il certificato SSL/TLS OV contiene informazioni aziendali convalidate e può essere ispezionato sul browser. Le aziende commerciali e a contatto con i clienti utilizzano il certificato SSL/TLS OV per creare fiducia tra i clienti. SSL/TLS OV fornisce una solida crittografia per proteggere la privacy dei clienti durante la navigazione sul Web. 

Certificati di convalida del dominio

I certificati di convalida del dominio (SSL/TLS DV) sono certificati digitali con il livello di convalida più basso. Inoltre costano meno richiederli. A differenza degli SLL EV e degli SSL/TLS OV, i richiedenti certificati DV passano attraverso un processo di verifica meno rigoroso. Il richiedente dimostra la proprietà del dominio rispondendo a un'e-mail o una telefonata di verifica.

Un certificato DV non contiene informazioni complete sull'organizzazione o sull'azienda del richiedente. Pertanto, non fornisce un'elevata garanzia agli utenti. I certificati DV sono adatti per siti Web informativi, come i blog. Non sono ideali per gateway di pagamento, aziende sanitarie o altri siti Web che gestiscono dati sensibili.

Certificati SSL/TLS a dominio singolo

Un certificato SSL/TLS a dominio singolo è un certificato SSL/TLS che protegge solo un dominio o un sottodominio. Un dominio è l'URL o l'indirizzo principale di un sito Web, ad esempio amazon.com. Un sottodominio è un indirizzo Web con un'estensione di testo che precede il dominio principale, ad esempio aws.amazon.com.

Ad esempio, è possibile utilizzare un certificato SSL/TLS a dominio singolo su http://example.com. Tuttavia, non è possibile utilizzare il certificato per http://example.com e sub.example.com contemporaneamente.

Certificati SSL/TLS jolly

Un certificato SSL/TLS jolly è un certificato SSL/TLS che protegge un dominio e tutti i relativi sottodomini. Ad esempio, è possibile utilizzare un certificato SSL/TLS jolly per proteggere http://example.com, blog.example.com e shop.example.com.

Certificati SSL/TLS multidominio

I certificati multidominio sono noti anche come certificati di comunicazione unificata. Un certificato SSL/TLS multidominio offre protezione SSL/TLS per più nomi di dominio ospitati sullo stesso server o su server diversi con la stessa proprietà. Ad esempio, puoi acquistare un certificato multidominio per http://example1.com, domain2.co.uk, shop.business3.com e chat.message.au.