Cos’è un certificato SSL

Quando si parla di sicurezza informatica, non si può fare a meno di parlare di crittografia, cioè quell'insieme di tecniche che permettono di offuscare i dati in modo che siano comprensibili soltanto a chi dispone delle corrette autorizzazioni.

Le connessioni di rete tendono a essere vulnerabili ad attacchi esterni, soprattutto se non si interviene per renderle più sicure. Quando è necessario trasmettere dati via Internet, quindi, divenuto quasi obbligatorio, ai giorni nostri, usare una rete privata virtuale. Non sai di cosa si tratta? Non preoccuparti: ecco qui un semplice articolo per scoprire che cos'è una VPN.

Oltre a questo, è consigliabile adottare anche altre strategie, come appunto quella della crittografia e dei certificati SSL.

Prima di parlare nello specifico di SSL, bisogna capire come funziona la crittografia in ambito informatico. Sono due i tipi di crittografia utilizzati di norma: quella simmetrica e quella asimmetrica. Con la crittografia simmetrica viene utilizzata una sola chiave crittografica per criptare i dati che devono essere scambiati. Con la crittografia asimmetrica, invece, vengono utilizzate due chiavi, una privata e una pubblica: i dati cifrati con una chiave pubblica potranno essere decifrati soltanto con la chiave privata corrispondente, e viceversa.

Questo secondo metodo offre maggiori garanzie di sicurezza. Per fare un esempio: se Luca vuole inviare dei dati a Marco in modo sicuro, può usare la chiave pubblica di Marco (che è nota in quanto pubblica, appunto) per criptarli; per decifrarli, Marco potrà usare la sua chiave privata. Un eventuale hacker potrebbe essere in grado di intercettare i dati e di risalire alla chiave pubblica di Marco, ma non avrà a disposizione la sua chiave privata, rendendo così impossibile la decifrazione.

Per poter sfruttare queste tecniche di crittografia è necessario fare affidamento a dei protocolli specifici. Per la crittografia asimmetrica, in particolare, si può utilizzare un certificato SSL, che è sostanzialmente un sistema che permette di creare chiavi pubbliche e private.

SSL (Secure Sockets Layer) indica una tecnologia sviluppata per crittografare le comunicazioni Web, tra browser e server.

Quando si visita un sito Web che richiede l'inserimento di informazioni, queste vengono raccolte e inviate al server che ospita il sito. Senza alcun altro tipo di protezione, i dati trasmessi possono essere facilmente intercettati da quei malintenzionati, di cui, purtroppo, il web è pieno. Questo è ovviamente un grosso problema di sicurezza, soprattutto quando le informazioni inviate fanno riferimento a dati sensibili.

Se la connessione utilizza un certificato SSL, invece, il browser dell'utente e il server che ospita il sito vengono associati tramite il protocollo SSL, che crea delle chiavi di crittografia pubbliche e private per lo scambio di dati. In questo modo, ogni volta che si stabilisce una connessione tra i due, il certificato SSL verifica che le chiavi utilizzate siano effettivamente quelle corrette, e solo in quel caso autorizza lo scambio di informazioni.

L'uso di un certificato SSL è quindi fondamentale per la sicurezza informatica, e permette di proteggere i dati che vengono scambiati da attacchi esterni.

Quando si devono inserire informazioni in un sito e si vuole essere sicuri che la connessione sia protetta da un certificato SSL, si possono fare alcune veloci verifiche.

• Controllare che l'URL del sito cominci con https:// e non con http://. HTTP significa infatti HyperText Transfer Protocol, mentre HTTPS significa HyperText Transfer Protocol over Secure Socket Layer.
• Verificare che accanto alla barra degli indirizzi del browser sia presente un lucchetto (o un'icona simile), che certifichi la presenza di un certificato SSL.
• Verificare che il certificato in uso, se presente, sia valido. Può capitare che il browser segnali la presenza di un certificato SSL, ma che questo sia scaduto e quindi non più in azione. Per controllare la sua validità solitamente è sufficiente cliccare sul lucchetto accanto alla barra degli indirizzi per avere informazioni più dettagliate.

Usare un certificato SSL sul proprio sito è indice di affidabilità, ed è quindi un'operazione consigliata a tutti, specialmente se si richiede agli utenti di inserire delle informazioni personali.

Per ottenere un certificato SSL bisogna rivolgersi a una autorità di certificazione (CA, Certificate Authority): si tratta di un ente, pubblico o privato, che emette certificati conformi alle norme internazionali e che garantisce la validità del certificato emesso. Solitamente, questi enti forniscono anche supporto per l'installazione del certificato sul proprio sito, in base alle esigenze e ai tool utilizzati dal server ospitante.

Una volta installato il certificato, bisogna verificare che il sito, ora raggiungibile solo tramite connessione HTTPS, funzioni correttamente. È quindi necessario controllare che i link interni al sito stesso siano tutti aggiornati, disattivare eventuali funzionalità che non sono disponibili su connessione sicura, e reindicizzare le nuove pagine così create.

Bisogna anche ricordarsi che i certificati SSL hanno validità limitata, di solito annuale. Come già accennato, un certificato scaduto non offre protezione, ed è quindi importante rinnovarlo per tempo. Molto spesso è possibile attivare opzioni di rinnovo automatico, in modo da non doversene preoccupare personalmente.

I vari certificati SSL si differenziano in base al tipo di validazione utilizzata. Le tre tipologie principali sono le seguenti:

• Certificati con validazione attraverso l'autenticazione del dominio (DV, Domain Validation). Questo tipo di certificato può essere richiesto piuttosto facilmente da chiunque. L'autorità di certificazione verifica che il richiedente sia a tutti gli effetti l'amministratore del dominio per cui si richiede il certificato, che a sua volta certifica la validità del solo dominio e non del richiedente. In pratica, se un sito utilizza questo tipo di certificato, si può essere sicuri che la connessione avvenga esclusivamente con il sito stesso, ma non si hanno informazioni sul titolare.
• Certificati con validazione attraverso l'autenticazione dell'azienda (OV, Organization Validation). Questo tipo di certificato è simile al precedente, ma l'autorità di certificazione effettua anche un controllo sul richiedente. Viene quindi verificata la sua identità e l'esistenza (e legalità) dell'azienda a cui fa riferimento. Un sito che utilizza questo tipo di certificato garantisce quindi sia la sicurezza delle transazioni che la certezza che lo scambio di informazioni avvenga con un'azienda realmente esistente.
• Certificati con validazione estesa (EV, Extended Validation). Questo tipo di certificato rappresenta il più alto livello di autenticazione possibile. Le verifiche effettuate dall'autorità di certificazione sono simili a quelle per i certificati OV, ma cambia il modo di visualizzazione: per i siti con certificati EV, infatti, i browser utilizzano degli accorgimenti grafici che mettono immediatamente in risalto la presenza di questo tipo di certificato. Si tratta solitamente di pulsanti o barre verdi, con il nome dell'azienda in evidenza.

La scelta tra queste tipologie deve essere dettata dalle esigenze. Un blog personale che richiede semplicemente l'iscrizione degli utenti tramite e-mail per permettere loro di commentare può accontentarsi di un certificato DV, mentre un negozio online dovrà affidarsi a un certificato EV per garantire a tutti i clienti la massima sicurezza.

Quando si parla di connessioni sicure, crittografia e SSL, ci si può imbattere nel termine TLS (Transport Layer Security): non è altro che una versione aggiornata del certificato SSL.

Nel 1999, con il protocollo SSL che era arrivato alla versione 3.0, si stava sviluppando un nuovo tipo di certificato basato sulla stessa tecnologia: avendo avuto innovazioni più radicali del previsto, è stato poi deciso di dare un nuovo nome al certificato. SSL è stato definitivamente superato nel 2015, quindi i protocolli di sicurezza utilizzati oggi sono praticamente ovunque di tipo TLS: tuttavia, viene spesso ancora usato il vecchio nome SSL perché più riconoscibile.

È una buona idea verificare che un sito utilizzi effettivamente un certificato TLS, più moderno e sicuro, rispetto al SSL; anche se al giorno d’oggi è comunque difficile che un’autorità di certificazione emetta ancora certificati SSL di vecchio stampo.