Il certificato SSL è diventato la base della sicurezza informatica durante la navigazione web. Cos’è, a cosa serve e perché il vostro sito dovrebbe impostarlo il prima possibile.
Qualsiasi sito, oggigiorno, è protetto dall’HTTPS. Se il vostro ancora non lo fosse, sarà bene che iniziate ad informarvi su come fare. Si tratta davvero di una caratteristica fondamentale per garantire ai vostri clienti o visitatori una protezione da minacce informatiche e malware sempre più raffinati, che danno spesso del filo da torcere anche ai firewall più avanzati. In questa breve guida vi spiegheremo perché è importante passare da HTTP a HTTS e impostare un certificato SSL. Accenneremo anche ai vari livelli di protezione, per guidarvi nella scelta della soluzione migliore per il vostro sito.
1 SSL cos’è?
SSL (Secure Sockets Layer) è la tecnologia di sicurezza standard per stabilire un collegamento crittografato tra un server Web e un browser. Questo collegamento garantisce che tutti i dati trasmessi tra il server Web e i browser rimangano privati e integri. Di fatto SSL è ormai uno standard di settore diffusissimo, utilizzato da milioni di siti Web nella protezione delle loro transazioni online con i loro clienti.
2 SSL: un protocollo ideato nel 1994
Il protocollo SSL venne ideato nel lontano 1994 dalla compianta Netscape. La prima bozza fu buttata giù da Kipp E.B. Hickman, in seguito a crescenti timori riguardo al bisogno di sicurezza informatica. Lo scopo era di permettere alle applicazioni di trasmettere dati in un ambiente protetto, anche se ci sono voluti quasi due decenni prima che diventasse quasi obbligatorio. Ma come funziona SSL? Riassunto in modo molto semplice: le applicazioni che utilizzano i certificati SSL sono in grado di gestire l’invio e la ricezione di chiavi di protezione e criptare/decriptare le informazioni trasmesse utilizzando le stesse chiavi.
3 Certificato SSL come funziona?
Stiamo parlando di una forma avanzata di crittografia. Per essere in grado di creare una connessione sicura, un server Web richiede un certificato SSL. Ne esistono di gratuiti ma se il vostro sito gestisce informazioni sensibili è consigliabile acquistare un certificato SSL presso un hosting provider. Il costo varia in base all’offerta, il provider di servizi internet 1&1 ad esempio offre tre tipi di pacchetti: Starter, Business e Premium. Quando si sceglie di attivare SSL sul proprio server, verrà chiesto di completare una serie di domande sull’identità del sito web e dell’azienda relativa. Il server web crea quindi due chiavi crittografiche: una chiave pubblica e una privata.
4 Chiave pubblica e chiave privata, perché?
La chiave pubblica non ha bisogno di essere segreta. Viene inserita in una richiesta di firma del certificato (CSR), che consiste in un file di dati contenente anche i dettagli relativi al proprio sito. Durante il processo di applicazione del Certificato SSL, l’Autorità di certificazione convaliderà i dati del richiedente, per emettere poi un certificato SSL. Il server web del richiedente abbinerà quindi il certificato SSL emesso ad una chiave privata. Sarà così in grado di stabilire un collegamento crittografato tra il sito web e il browser web che vi accede per navigare.
5 Un protocollo complesso ma invisibile
Le complessità del protocollo SSL rimangono invisibili a chi naviga su un sito. Invece, i vari browser forniscono un indicatore chiave per far sapere che si è protetti da una sessione crittografata SSL. Parlioamo dell’icona del lucchetto nell’angolo in basso a destra: cliccandola si visualizza il certificato SSL e i dettagli relativi. Tutti i certificati SSL sono rilasciati a società o persone giuridicamente responsabili.
6 Cosa contiene un certificato SSL?
In genere un certificato SSL conterrà il nome di dominio, il nome dell’azienda, l’indirizzo, la città, lo stato e il paese. Conterrà anche la data di scadenza del certificato e i dettagli dell’Autorità di certificazione responsabile del rilascio del certificato. Quando un browser si connette a un sito sicuro, recupererà il certificato SSL del sito e verificherà che non sia scaduto, che sia stato emesso da un’autorità di certificazione fidata e che sia utilizzato in modo appropriato dal sito web che lo ha ottenuto. Se uno di questi controlli non viene superato, il browser visualizzerà un avviso all’utente finale dove viene comunicato che il sito non è protetto da SSL.
7 Quale software supporta SSL?
Anzitutto i web browser come Explorer e Chrome, oppure i programmi di gestione della posta come Outlook, Mozilla Thunderbird, Apple Mail. E ancora, programmi SFTP (Secure File Transfer Protocol) come le varie suite di collegamento a server FTP come FileZilla o Cyberduck. Per stabilire una connessione sicura tramite certificato SSL, è necessario che il software sia dotato di chiave di protezione. Come già menzionato, tale protezione deve essere assegnata da un’Authority, che la rilascierà sotto forma di certificato SSL.
8 SSL: tipologie di validazione
Autenticazione del dominio
Il processo di autenticazione verifica che il richiedente abbia i permessi di amministratore per il dominio di cui chiede il certificato.
Autenticazione dell’azienda
La validazione include la verifica dell’azienda, del dominio e del contatto che richiede il certificato SSL per conto dell’azienda o dell’organizzazione. Si verificherà che sia effettivamente un dipendente dell’azienda richiedente.
Autenticazione tramite Extended Validation (EV)
Si tratta del più alto livello di autenticazione disponibile per un certificato SSL. Per riceverlo, occorre stipulare un accordo firmato tra contatto e azienda per cui verrà emesso il certificato. Grazie all’Extended Validation, chi utilizza un browser con capacità high-security potrà vedere la barra degli indirizzi di colore verde. Significa che il sito è autenticato con procedure di validazione avanzate. Nella barra degli indirizzi, inoltre, viene visualizzato il nome dell’azienda e dell’ente che ha rilasciato il certificato. Si tratta di informazioni visibili immediatamente, che trasmettono all’utente la fiducia necessaria per completare transazioni e qualsiasi trasmissione di dati sensibili.