Secure Sockets Layer, comunemente indicato come SSL, è uno standard di sicurezza per crittografare la comunicazione tra un server web e il browser web del client. Sebbene il termine sia ancora utilizzato nel linguaggio comune, il protocollo SSL è stato infatti sostituito con il protocollo TLS, che sta per Transport Layer Security.
Qualsiasi sito Web con un indirizzo Web HTTPS utilizza il protocollo SSL / TLS. Ogni volta che il browser web vede un certificato SSL valido, visualizza l'icona di un lucchetto verde accanto all'indirizzo. Questo è un segnale visivo per l'utente desktop che tutta la comunicazione tra il browser e il server Web viene condotta su un canale crittografato.
Perché utilizzare i certificati SSL?
Qualsiasi informazione inviata attraverso Internet passa attraverso vari computer intermedi prima di raggiungere il server Web di destinazione. Ciò significa che uno qualsiasi di questi computer intermedi può accedere ai dati trasmessi, che potrebbero includere informazioni come nomi utente e password e altre informazioni sensibili. I certificati SSL mitigano questo rischio assicurando che tutte le informazioni inviate su Internet siano crittografate in modo tale che solo il destinatario previsto possa accedervi.
In effetti, alcuni siti Web, come i portali bancari e di pagamento, sono tenuti per legge a intraprendere determinati passaggi prima di poter chiedere agli utenti informazioni sensibili. Uno di questi requisiti è utilizzare certificati SSL convalidati correttamente.
Anche se non chiedi agli utenti informazioni sensibili, vale la pena utilizzare un certificato SSL. Nel 2014, Google ha annunciato che nel suo tentativo di rendere il Web più sicuro, il motore di ricerca aveva iniziato a utilizzare HTTPS come segnale di posizionamento. Ciò significa che i siti che utilizzano un certificato SSL valido sono considerati migliori e classificati più in alto nei risultati di ricerca, rendendo un certificato SSL effettivamente uno strumento SEO di base ma essenziale.
Cosa contiene un certificato SSL?
Tecnicamente parlando un certificato SSL è un file di dati sul server web che contiene diverse informazioni. L'aspetto più cruciale del certificato è la chiave pubblica del sito web.
Questo è accompagnato dal nome di dominio per il quale è stato emesso il certificato e dai dettagli sull'individuo o sull'organizzazione a cui è stato rilasciato. Il certificato contiene anche dettagli sull'autorità che lo ha emesso insieme alla sua firma digitale. Altri dettagli importanti includono la data di emissione del certificato, la durata della sua validità e la data di scadenza del certificato.
La chiave pubblica (e la sua chiave privata corrispondente) sono essenzialmente lunghe stringhe di caratteri che aiutano a crittografare e decrittografare i dati trasmessi. È importante notare che i dati crittografati con la chiave pubblica possono essere decrittografati solo con la chiave privata.
Quando un browser web tenta di comunicare con il server, chiamerà il certificato per verificare l'identità del server e quindi ottenere la sua chiave pubblica. Quindi lo utilizza per creare un canale crittografato tra se stesso e il server web. Tutti i dati trasmessi su questo canale possono essere decrittografati solo dal server web che dispone della chiave privata.
Chi emette gli SSL?
I certificati SSL vengono emessi da un'autorità di certificazione (CA) attendibile. I browser Web, i sistemi operativi e oggigiorno anche i dispositivi mobili mantengono un elenco di certificati radice CA attendibili.
Un certificato radice è molto prezioso poiché qualsiasi certificato SSL firmato con la sua chiave privata sarà automaticamente considerato attendibile dai browser web. Al contrario, se la CA non è attendibile, il browser presenterà messaggi di errore non attendibili all'utente finale.
Aziende come DigiCert, IdenTrust, GlobalSign e Let’s Encrypt sono note come autorità di certificazione affidabili. I browser Web e gli sviluppatori di sistemi operativi come Microsoft, Mozilla, Google, Opera e simili, si fidano di queste CA e, per estensione, di qualsiasi certificato SSL firmato dalle loro chiavi private.
Tipi di certificati SSL
Esistono diversi tipi di certificati SSL che possono essere classificati a grandi linee in tre categorie.
I certificati con convalida del dominio (DV) sono i certificati entry level che coprono la crittografia di base e la verifica della proprietà dei record di registrazione del nome di dominio. Questo tipo di certificato è il più economico e può essere rilasciato in pochi minuti.
Successivamente ci sono i certificati OV (Organization-Validated) che, oltre alla crittografia e alla verifica di base, autenticano anche i dettagli sul proprietario come il nome e l'indirizzo. Considerando la verifica manuale coinvolta, occorreranno da poche ore a diversi giorni per ottenere un certificato OV.
Infine, ci sono i certificati Extended Validation (EV) che sono i più affidabili poiché verificano anche l'esistenza fisica e operativa del proprietario del sito web. Seguono una serie rigorosa di linee guida per il processo di verifica, che può richiedere diverse settimane.
Inoltre, tutti i tipi di certificato SSL hanno anche due varianti. Esiste un unico certificato di dominio che protegge un nome di dominio completo. È più economico di un certificato con caratteri jolly che protegge più sottodomini.
Cos'è un certificato SSL autofirmato?
Ancora una volta, tecnicamente parlando, chiunque può creare il proprio certificato SSL generando un accoppiamento di chiave pubblica-privata. Questi certificati sono chiamati certificati autofirmati perché la firma digitale utilizzata non proviene da una CA di terze parti, ma piuttosto dalla chiave privata del sito web.
Sebbene siano più convenienti e possano essere generati istantaneamente, poiché non esistono browser Web di verifica di terze parti, i certificati autofirmati non considerano affidabili. Questo è il motivo per cui anche se la comunicazione è crittografata, i browser Web contrassegneranno comunque il sito Web come "non sicuro". La maggior parte dei browser Web, come minimo, si assicurerà che tu capisca che il sito Web utilizza un certificato autofirmato, prima di visualizzare i contenuti del sito Web.
Come ottenere i certificati SSL?
Grazie al loro ruolo nel ranking dei motori di ricerca, è una buona idea che tutti si procurino un certificato SSL.
Il primo passo è determinare il tipo di certificato di cui hai bisogno, in gran parte a seconda del numero di domini e sottodomini che devi proteggere. Il processo è molto più cruciale per le aziende in settori regolamentati come quello bancario, che devono assicurarsi che il proprio certificato SSL soddisfi i requisiti definiti.
Esistono diversi fornitori di certificati SSL e, a seconda del tipo di certificato e della reputazione e della fiducia dell'autorità di certificazione emittente, i costi dei certificati SSL possono variare da pochi dollari a diverse centinaia di dollari all'anno.
In questi giorni, tuttavia, puoi anche ottenerne uno gratuitamente, grazie a Let’s Encrypt CA. È stata fondata da EFF, Mozilla e dall'Università del Michigan, con Cisco e Akamai come sponsor fondatori.
Let's Encrypt è una CA senza scopo di lucro che distribuisce gratuitamente certificati SSL da aprile 2016. I suoi certificati sono validi per 90 giorni e possono essere rinnovati in qualsiasi momento durante questo periodo di validità. Secondo la ricerca di Let's Encrypt, i suoi certificati sono stati ampiamente adottati da utenti attenti ai costi, che includono siti più piccoli, come blog personali e piccole imprese.
- Accedi a Internet in modo sicuro con la migliore VPN.