Costruire un ambiente affidabile, in cui i potenziali clienti sentano di poter fare acquisti in sicurezza, è un elemento essenziale del business online. I certificati SSL sono le fondamenta di questa fiducia, perché creano una connessione sicura. Per rassicurare i visitatori sulla sicurezza della propria connessione, i browser aggiungono gli indicatori EV, dei simboli grafici come il lucchetto verde o la barra URL con le caratteristiche di un marchio.
I certificati SSL hanno una coppia di chiavi, una pubblica e una privata, che insieme stabiliscono una connessione crittografata. Il certificato contiene anche il cosiddetto "soggetto", ovvero l'identità del proprietario del certificato o del sito.
Per ottenere un certificato, è necessariocreare una Certificate Signing Request (CSR) sul server. Questo processo crea le due chiavi, privata e pubblica, sul tuo server. Il file di dati CSR che invii all'emittente del certificato SSL (la Certificate Authority, o CA) contiene la chiave pubblica. La CA utilizza questo file di dati CSR per creare una struttura di dati abbinata alla tua chiave privata, senza compromettere la chiave stessa. La CA non ha modo di visualizzare la chiave privata.
Una volta ritirato il certificato SSL, devi installarlo sul tuo server, insieme a un certificato intermedio, che stabilisce la credibilità del tuo certificato SSL legandolo al certificato radice della tua CA. Le istruzioni per installare e testare il tuo certificato dipendono dal tuo tipo di server.
L'immagine qui sotto mostra la cosiddetta catena di certificazione. Questa collega il certificato del tuo server al certificato radice della CA (in questo caso ¶ºÒõ¹Ý) mediante un certificato intermedio.
L'aspetto più importante di un certificato SSL è la firma digitale di una CA affidabile, come ¶ºÒõ¹Ý. Chiunque può creare un certificato, ma i browser si fidano solo dei certificati emessi da un'organizzazione inclusa nel loro elenco di CA affidabili. I browser contengono un elenco preinstallato di CA affidabili: l'archivio Trusted Root CA. Per essere aggiunta a questo archivio e quindi diventare un'autorità di certificazione, una società deve rispettare degli standard di sicurezza e autenticazione stabiliti dai browser e sottoporsi ai relativi audit.
Il certificato SSL che viene emesso da una CA a un'organizzazione e al relativo dominio e sito web ne certifica l'identità , verificata da un affidabile ente terzo. E poiché il browser ritiene affidabile la CA, ora riterrà affidabile anche l'identità dell'organizzazione. Il browser quindi informa l'utente che il sito web è sicuro e che può visitarlo in sicurezza e anche fornirgli proprie informazioni personali.
È una tecnologia di sicurezza standard per stabilire una connessione crittografata fra un server e un client, generalmente un server web (un sito) e un browser, oppure un server di posta elettronica e un software client (ad es. Outlook). È conosciuto meglio come TLS, Transport Layer Security, tecnologicamente l'erede dell'SSL.
L'SSL consente di trasmettere in modo sicuro informazioni sensibili come numeri di carta di credito, codici fiscali e credenziali di accesso. Normalmente, lo scambio di dati fra browser e server web avverrebbe con file di testo, ma questi possono essere violati facilmente. Un aggressore in grado di intercettare tutti i dati inviati fra un browser e un server web riuscirà a visualizzare e utilizzare queste informazioni.
Per essere più precisi, l'SSL è un protocollo di sicurezza, ovvero descrive come utilizzare determinati algoritmi. In questo caso, il protocollo SSL determina le variabili con cui crittografare la connessione e i dati in transito.
Tutti i browser sono concepiti per interagire con server web sicuri mediante il protocollo SSL. Tuttavia, il browser e il server hanno bisogno di un certificato SSL per stabilire una connessione sicura.
I protocolli SSL proteggono i dati di milioni di persone su Internet ogni giorno, in particolare per le transazioni online o le trasmissioni di informazioni riservate. Gli utenti di Internet oggi sanno che la presenza del lucchetto segnala un sito web protetto da SSL, così come la barra dell'indirizzo verde indica che il sito ha una protezione SSL con Extended Validation. Questi siti sicuri inoltre sono preceduti dalla sigla "https" anziché dalla semplice "http".
Conosci già i principi base della tecnologia e dei certificati SSL? Parliamo allora di crittografia SSL.
Quando un browser cerca di accedere a un sito web protetto da SSL, il browser e il server stabiliscono una connessione SSL con un processo denominato "SSL handshake" (vedi il diagramma qui sotto). L'SSL handshake è invisibile all'utente e avviene in modo istantaneo.
In sostanza, per stabilire la connessione SSL vengono utilizzate tre chiavi: una pubblica, una privata e una chiave di sessione. Tutto ciò che viene crittografato con la chiave pubblica, può essere decrittografato solo con la chiave privata, e viceversa. Poiché le operazioni di crittografia e decrittografia con le chiavi privata e pubblica assorbono molta potenza di elaborazione, vengono usate solo durante la fase di handshake per creare una chiave di sessione simmetrica. Una volta stabilita la connessione sicura, tutti i dati trasmessi verranno crittografati con la chiave di sessione.
Il protocollo SSL è sempre stato usato per crittografare e proteggere la trasmissione di dati. Ogni volta che ne veniva rilasciata una versione nuova e più sicura, cambiava il numero di versione (ad es. SSLv2.0). Quando l'aggiornamento è arrivato alla versione SSLv3.0, anziché passare alla SSLv4.0, si è deciso di rinominarlo TLSv1.0. Al momento siamo alla versione TLSv1.3.
Ma siccome il termine SSL è ancora il più conosciuto e diffuso, ¶ºÒõ¹Ý fa riferimento ai certificati o alla trasmissione sicura di dati parlando di TLS/SSL. Chi da noi (ad es. un SSL standard, un SSL Extended Validation, ecc.) in realtà sta acquistando un certificato TLS (RSA o ECC).
Usi
I siti web come i blog, che non raccolgono pagamenti o dati sensibili, hanno comunque bisogno del protocollo HTTPS per garantire la privacy degli utenti.
I certificati TLS/SSL crittografano e proteggono nomi utente e password e moduli usati per inviare informazioni personali, documenti o immagini.
I clienti sono più propensi a completare un acquisto se sanno che la pagina di pagamento del tuo sito (su cui inseriscono i dati della carta di credito) è sicura.
Tipo di certificato TLS/SSL consigliato
Certificati TLS/SSL OV (con validazione dell'azienda) - Al secondo posto per livello di autenticazione e per rigore dei controlli sulle organizzazioni.
Certificati TLS/SSL OV (con validazione dell'azienda) - Al secondo posto per livello di autenticazione, il massimo livello di rigore dei controlli sulle organizzazioni.
Certificati TLS/SSL EV (con validazione estesa) - Il massimo livello di autenticazione e rigore dei controlli sulle organizzazioni.