Quando si parla di sicurezza informatica, non si può fare a meno di parlare di crittografia, cioè quell'insieme di tecniche che permettono di offuscare i dati in modo che siano comprensibili soltanto a chi dispone delle corrette autorizzazioni.
Contenuti
Le connessioni di rete tendono a essere vulnerabili ad attacchi esterni, soprattutto se non si interviene per renderle più sicure. Quando è necessario trasmettere dati via Internet, quindi, divenuto quasi obbligatorio, ai giorni nostri, usare una rete privata virtuale. Non sai di cosa si tratta? Non preoccuparti: ecco qui un semplice articolo per scoprire che cos'è una VPN.
Oltre a questo, è consigliabile adottare anche altre strategie, come appunto quella della crittografia e dei certificati SSL.
Prima di parlare nello specifico di SSL, bisogna capire come funziona la crittografia in ambito informatico. Sono due i tipi di crittografia utilizzati di norma: quella simmetrica e quella asimmetrica. Con la crittografia simmetrica viene utilizzata una sola chiave crittografica per criptare i dati che devono essere scambiati. Con la crittografia asimmetrica, invece, vengono utilizzate due chiavi, una privata e una pubblica: i dati cifrati con una chiave pubblica potranno essere decifrati soltanto con la chiave privata corrispondente, e viceversa.
Questo secondo metodo offre maggiori garanzie di sicurezza. Per fare un esempio: se Luca vuole inviare dei dati a Marco in modo sicuro, può usare la chiave pubblica di Marco (che è nota in quanto pubblica, appunto) per criptarli; per decifrarli, Marco potrà usare la sua chiave privata. Un eventuale hacker potrebbe essere in grado di intercettare i dati e di risalire alla chiave pubblica di Marco, ma non avrà a disposizione la sua chiave privata, rendendo così impossibile la decifrazione.
Per poter sfruttare queste tecniche di crittografia è necessario fare affidamento a dei protocolli specifici. Per la crittografia asimmetrica, in particolare, si può utilizzare un certificato SSL, che è sostanzialmente un sistema che permette di creare chiavi pubbliche e private.
SSL (Secure Sockets Layer) indica una tecnologia sviluppata per crittografare le comunicazioni Web, tra browser e server.
Quando si visita un sito Web che richiede l'inserimento di informazioni, queste vengono raccolte e inviate al server che ospita il sito. Senza alcun altro tipo di protezione, i dati trasmessi possono essere facilmente intercettati da quei malintenzionati, di cui, purtroppo, il web è pieno. Questo è ovviamente un grosso problema di sicurezza, soprattutto quando le informazioni inviate fanno riferimento a dati sensibili.
Se la connessione utilizza un certificato SSL, invece, il browser dell'utente e il server che ospita il sito vengono associati tramite il protocollo SSL, che crea delle chiavi di crittografia pubbliche e private per lo scambio di dati. In questo modo, ogni volta che si stabilisce una connessione tra i due, il certificato SSL verifica che le chiavi utilizzate siano effettivamente quelle corrette, e solo in quel caso autorizza lo scambio di informazioni.
L'uso di un certificato SSL è quindi fondamentale per la sicurezza informatica, e permette di proteggere i dati che vengono scambiati da attacchi esterni.
Quando si devono inserire informazioni in un sito e si vuole essere sicuri che la connessione sia protetta da un certificato SSL, si possono fare alcune veloci verifiche.
Usare un certificato SSL sul proprio sito è indice di affidabilità, ed è quindi un'operazione consigliata a tutti, specialmente se si richiede agli utenti di inserire delle informazioni personali.
Per ottenere un certificato SSL bisogna rivolgersi a una autorità di certificazione (CA, Certificate Authority): si tratta di un ente, pubblico o privato, che emette certificati conformi alle norme internazionali e che garantisce la validità del certificato emesso. Solitamente, questi enti forniscono anche supporto per l'installazione del certificato sul proprio sito, in base alle esigenze e ai tool utilizzati dal server ospitante.
Una volta installato il certificato, bisogna verificare che il sito, ora raggiungibile solo tramite connessione HTTPS, funzioni correttamente. È quindi necessario controllare che i link interni al sito stesso siano tutti aggiornati, disattivare eventuali funzionalità che non sono disponibili su connessione sicura, e reindicizzare le nuove pagine così create.
Bisogna anche ricordarsi che i certificati SSL hanno validità limitata, di solito annuale. Come già accennato, un certificato scaduto non offre protezione, ed è quindi importante rinnovarlo per tempo. Molto spesso è possibile attivare opzioni di rinnovo automatico, in modo da non doversene preoccupare personalmente.
I vari certificati SSL si differenziano in base al tipo di validazione utilizzata. Le tre tipologie principali sono le seguenti:
La scelta tra queste tipologie deve essere dettata dalle esigenze. Un blog personale che richiede semplicemente l'iscrizione degli utenti tramite e-mail per permettere loro di commentare può accontentarsi di un certificato DV, mentre un negozio online dovrà affidarsi a un certificato EV per garantire a tutti i clienti la massima sicurezza.
Quando si parla di connessioni sicure, crittografia e SSL, ci si può imbattere nel termine TLS (Transport Layer Security): non è altro che una versione aggiornata del certificato SSL.
Nel 1999, con il protocollo SSL che era arrivato alla versione 3.0, si stava sviluppando un nuovo tipo di certificato basato sulla stessa tecnologia: avendo avuto innovazioni più radicali del previsto, è stato poi deciso di dare un nuovo nome al certificato. SSL è stato definitivamente superato nel 2015, quindi i protocolli di sicurezza utilizzati oggi sono praticamente ovunque di tipo TLS: tuttavia, viene spesso ancora usato il vecchio nome SSL perché più riconoscibile.
È una buona idea verificare che un sito utilizzi effettivamente un certificato TLS, più moderno e sicuro, rispetto al SSL; anche se al giorno d’oggi è comunque difficile che un’autorità di certificazione emetta ancora certificati SSL di vecchio stampo.