Certificati SSL: cosa sono e perchè sono così importanti

Lo spionaggio e l’abuso di dati in rete rappresentano un serio problema, fin dalla notte dei tempi.

Il tema della sicurezza è diventato sempre più centrale nel corso degli ultimi anni, questo è dovuto soprattutto al fatto che la quasi totalità delle aziende di piccole, medie e grandi dimensioni hanno digitalizzato i loro servizi, rendendoli di fatto fruibili in rete ai loro clienti.

Tuttavia, affinchè i dati aziendali e quelli dei loro consumatori siano protetti, è necessario che gli stessi siano trasmessi e gestiti in sicurezza; difatti sia HTTPS che SSL/TLS rientrano a tutti gli effetti negli standard attuali.

Ma cosa sono SSL/TLS e HTTPS?

SSL sta per “Secure Socket Layers” e altro non è che un protocollo che serve a proteggere le comunicazioni via Internet, criptando quindi le informazioni che transitano dal browser al server.

Tra i dati più sensibili, passanti in rete, troviamo sicuramente le generalità degli utenti e i dati delle loro carte di credito.

Infatti, con la crescita esponenziale degli e-commerce, qualora questi non siano protetti da un certificato SSL, è possibile che tali informazioni possano essere intercettate da utenti non autorizzati, i quali potrebbero utilizzarli a loro volta per scopi illeciti.

Pertanto, per prevenire il rischio di reati informatici vengono utilizzati dei certificati SSL, i quali assicurano una comunicazione criptata tra computer.

Nello specifico, quando si verifica la prima comunicazione tra queste due macchine, il server web invia il proprio certificato digitale al browser del client che ne verifica la validità, il quale dà quindi il via ad una comunicazione sicura.

Tutti i certificati SSL vengono rilasciati da un’Autorità di Certificazione (CA), ovvero una società o una organizzazione che agisce convalidando le identità dei siti web, degli indirizzi email, società o singole persone, vincolandole a chiavi crittografiche mediante l’emissione di documenti elettronici, quali sono per l’appunto i certificati digitali.

Il sistema in oggetto, utilizza la crittografia a doppia chiave, o asimmetrica, in cui una delle due chiavi viene resa pubblica all’interno del certificato (chiave pubblica), mentre la seconda, univocamente correlata con la prima, rimane segreta e associata al titolare (chiave privata).

Una coppia di chiavi può essere attribuita ad un solo titolare.

In Italia è AgID l’ente pubblico che accredita i soggetti certificatori e ne controlla l’operato, emandando i regolamenti in conformità alla legislazione applicabile corrente.

TLS, acronimo di “Transport Layer Security“, è invece una versione aggiornata e più sicura di SSL.

Tuttavia, i certificati di sicurezza vengono sempre identificati attraverso la dicitura SSL, poiché si tratta di un termine di utilizzo più frequente.

Al momento dell’acquisto di un certificato SSL, i clienti potranno quindi scegliere di ottenere i certificati TLS con crittografia ECC, RSA o DSA.

Quando si parla di SSL, è inevitabile far riferimento anche ad un altro protocollo, ovvero l’HTTPS, acronimo di “Hyper Text Transfer Protocol Secure“, indicante un sito web protetto da certificato SSL o TLS.

Viceversa, nei siti web con HTTP tutti i dati potrebbero essere teoricamente letti o modificati dai cybercriminali.

Utilizzare un certificato SSL o un certificato TLS, incide inoltre sul ranking di Google, in termini di posizionamento del sito.

Come riconoscere un sito che utilizza un certificato SSL

Per riconoscere un sito web sul quale è attivo e correttamente installato un certificato SSL occorre fare attenzione all’indirizzo dello stesso; in particolare tutti i siti il cui indirizzo inizia per “https://” sono sicuri, poichè hanno un certificato SSL che gli consente di trasmettere dati cifrati incomprensibili a terzi.

Inoltre, tutti i siti che utilizzando un certificato di questo tipo, mostrano il simbolo del lucchetto nella barra degli indirizzi del browser.

Cliccando su questo simbolo, è possibile quindi visualizzare i dettagli del certificato, compresa l’autorità di emissione e il nome aziendale del proprietario del sito.

Quale certificato SSL scegliere?

I certificati SSL non sono tutti uguali, ne esistono di diversi tipi, ognuno dei quali garantisce un livello di sicurezza diverso.

Le tipologie principali degli stessi sono sostanzialmente tre, ovvero: Domain Validated (DV), Organization Validated (OV) ed Extended Validated (EV).

  • Il certificato SSL Domain Validated (DV) e il più economico e veloce da ottenere perché non richiede una verifica approfondita: l’ente certificatore verificherà soltanto che il richiedente sia effettivamente il proprietario del dominio.

  • Il certificato SSL Organization Validated (OV) richiede invece un periodo di attesa più lungo, in quanto viene rilasciato dopo un’attenta analisi della società richiedente; è a tutti gli effetti il certificato migliore per aziende e piccoli siti di e-commerce, i quali potranno garantire agli utenti delle transazioni sicure.

  • Il certificato SSL Extended Validated (EV), al contrario è in grado di garantire la massima sicurezza sull’identità del sito e sull’affidabilità dell’azienda. Chi ha scelto questo tipo di certificato è facilmente riconoscibile dalla presenza di una barra verde contenente il nome dell’azienda richiedente. Per queste sue caratteristiche, il certificato SSL EV è la scelta migliore per i grandi siti di e-commerce e per le aziende High Brand Identity.

Esistono inoltre dei certificati SSL Domain Validated (DV) di tipo gratuito emessi da “Let’s Encrypt“, i quali hanno una durata di 90 giorni e sono dotati di un sistema automatizzato, progettato per eliminare le complesse procedure di certificazione manuale, validazione, firma, installazione e rinnovo dei certificati SSL per la sicurezza dei siti web.

A differenza di altri certificati però, Let’s encrypt non include una garanzia, nel caso in cui il certificato venisse  sabotato da terzi.