Menu

af1.it

Uno che scrive

Certificati SSL: cosa sono e quando servono

7 minuti
aggiornato il
I certificati SSL offrono maggiore protezione nella trasmissione dei dati tra il sito internet ed i dispositivi collegati, ormai sono quasi una consuetudine su tanti siti, specialmente su quelli con indirizzo IP dedicato dove conviene maggiormente

I certificati SSL offrono maggiore protezione nella trasmissione dei dati

I certificati SSL (evoluzione dei TLS) sono protocolli che rendono più sicura la connessione tra un dispositivo e un sito internet.
Sono quei certificati crittografati che in parole povere rendono gli url che iniziano invece che con http:// con https://, ovvero: HTTPS.
Le connessioni sicure ad esempio dei siti delle banche online, o dei siti e-commerce dove si eseguono transazioni o comunque trattano dati privati e sensibili.

Presenza dei certificati SSL sul sito web

Tra gli esempi più famosi c'è Google, o diversi siti di social, o siti delle banche online, dove viene evidenziata la barra verde con il lucchetto all'inizio della barra degli indirizzi.
Ci sono anche certificati che pur offrendo una connessione crittografata tuttavia non hanno l'EV che comporta una serie di controlli ulteriori, quindi di certificazioni, che stabiliscono una certa garanzia della connessione e dello scambio dati tra utente e sito.

Se si decide di affrontare la spesa dei certificati SSL (che in alcuni casi è obbligatoria o comunque irrinunciabile) è probabilmente bene puntare ad avere il certificato con l'Extended Validation Certificate (non però ottenibile da chiunque), che anche da un semplice aspetto visivo (che in internet non è cosa da poco per gli utenti, specialmente quelli meno esperti) offre la famosa barra verde e mostra (cliccando con il tasto destro del mouse sull'icona a sinistra dell'url sulla barra degli indirizzi del browser) le certificazioni del sito e/o dell'organizzazione.

Perché installare un certificato SSL con relativo url che inizia con https:// che poi mostra ancora la definizione “Identità non verificata” può rivelarsi controproducente, e ripeto, soprattutto con gli utenti che hanno meno esperienza nell'utilizzo di internet, che sono certamente più sensibili a segnali di questo tipo che possono, ahinoi, essere interpretati come allarmanti.
Lo stesso effetto potenzialmente intimidatorio che potrebbe avere il banner obbligatorio per dare il consenso all'utilizzo dei cookie.

Per un sito di e-commerce la certificazione SSL con EV è praticamente indispensabile (quando possibile), per gestire con maggiore sicurezza dati personali degli utenti incluse transazioni ed acquisti online, oltre che garantire agli stessi l'identità della società, altro aspetto importante dell'avere queste certificazioni è che l'utente può constatare una volta in più di avere a che fare con siti i cui gestori desiderano dimostrare trasparenza e serietà professionale.

Questo non significa affatto di credere a chiunque ed a qualsiasi cosa prometta, ma quando un sito ha queste certificazioni sono date da organismi terzi (CA) che verificano l'attendibilità del sito e dell'organizzazione, o del rappresentante, che ne ha responsabilità legale e che tutto si svolga nei termini previsti dalla legge.

I diversi tipi di certificati SSL

Esistono diverse tipologie di certificato SSL, alcuni sono offerti a basso costo, tuttavia occorre chiedersi se ne valga la pena l'installazione oppure no, e rimandare a quando ci si può permettere una spesa maggiore che però implica maggiori e più complesse verifiche del sito e della società tramite il suo legale rappresentante, quindi anche maggiore garanzia nei confronti dell'utente che, navigando nello specifico sito web prende atto della bontà e serietà di chi il sito lo gestisce.

Praticamente le certificazioni SSL si suddividono in:

● Validazione dominio (DV)

● Validazione organizzazione (OV)

● Validazione estesa (EV)

Ovviamente i diversi tipi di certificazione devono essere valutati in base all'utilizzo che se ne deve fare e contemporaneamente all'offerta all'utente di una certa garanzia.
La presenza dei certificati in determinati siti dove vengono gestiti dati privati come sappiamo è un requisito irrinunciabile, tuttavia non servono solo a questi siti, ma sono tranquillamente applicabili anche a siti, come ad esempio questo che non vende nulla e gli unici dati sensibili che tratta sono indirizzo email e indirizzo IP rilevati automaticamente dal CMS quando si inserisce o si sottoscrivere un commento, per garantire maggiore sicurezza nella semplice navigazione.

Il certificato SSL rende comunque più sicura la connessione anche in un sito che non vende nulla e non esegue transazioni online e non tratta dati come quelli delle carte di credito, dati personali, etc. in quanto la connessione è protetta da protocolli crittografati tra pc dell'utente (o altri dispositivo) e il sito web certificato.

I certificati auto-firmati (self-signed) praticamente non servono a nulla, sono solamente un test che si esegue sul sito e sul server.
Le CA sono le terze parti che devono verificare i requisiti idonei di un sito e di un'organizzazione prima di rilasciare le certificazioni, ed i costi possono differenziarsi parecchio e salire altrettanto, proprio in base all'ente certificatore, alla sua storia, se più o meno conosciuto, quindi anche molto più caro a parità di prodotto identico.
Come se non bastasse anche i rivenditori applicano prezzi talvolta parecchio differenti tra loro anche in questo caso per prodotti identici.

Lasciamo perdere che già di per sé questo non serve assolutamente ad aiutare un potenziale cliente che desidera acquisire tali certificazioni, ma se un prezzo è 100 da una parte non si comprende la logica per cui debba essere 200 (il doppio) da un'altra per un prodotto identico.
In alcuni casi poi si va ben oltre il doppio dei prezzi da una CA ad un'altra, per quanto mi riguarda questo non è un atteggiamento così serio.

CA molto conosciute sono GeoTrust, Verisign (Symantec).

Le differenze dei certificati SSL e i requisiti per ottenerli

Veniamo a comprendere meglio come si differenziano i certificati, o meglio, le necessarie procedure perché questi siano attribuiti, e ricordo che per avere certificazioni SSL il sito web deve disporre di indirizzo IP dedicato.

● Il certificato SSL DV richiede la rapida verifica della validità dei dati inseriti nel modulo di richiesta del certificato, relativi a nome del dominio, dati del proprietario del sito e rappresentante legale, in questi casi le CA inviano un'email un po' come accade quando il proprietario di un sito riceve email dall'ICANN per verificare la correttezza dei dati dell'intestatario a dominio.
Quindi praticamente con una email (tra Provider e CA) viene eseguita la verifica, viene certificato il sito ma non la società che lo possiede, ammesso che ve ne sia una.
Per quanto riguarda l'ICANN va detto che la conferma di dati errati può causare la cancellazione del sito dal pubblico registro.

● Il certificato SSL OV invece richiede tutta una serie di documenti da parte della CA per verificare la veritiera esistenza di una società, organizzazione, il suo rappresentante legale, e la conseguente corretta veridicità della stessa affinché non si tratti di eventuale furto di identità o altri tipi di reato.

● Il certificato SSL EV è la massima certificazione, che in quanto estesa verifica in modo ancora più scrupoloso l'attendibilità dei dati forniti tramite una serie di pratiche burocratiche che possono includere anche lettere legali, al fine di verificare la precisa correttezza e veridicità delle informazioni acquisite, e il procedimento può durare anche diversi giorni.

In questo caso la barra degli indirizzi del browser da bianca diventa verde nella parte iniziale, come si vede anche dalle immagini sopra, aspetto che inevitabilmente dè maggiore fiducia agli utenti nei confronti di un sito web.
Questa certificazione è quella più costosa perché le verifiche da eseguire da parte delle CA sono sicuramente maggiori e richiedono ovviamente più tempo.

Il certificato SSL EV non può essere richiesto da chiunque abbia un sito web, bensì da:

● Agenzie governative

● Società

● Associazioni (organizzazioni)

Risulta interessante il certificato SSL anche per un sito che non tratta dati privati e non vende nulla, ma assicura comunque una connessione protetta (connessione sicura) ai propri utenti durante la navigazione, il che indica che il proprietario del dominio tiene nella giusta considerazione anche la sicurezza.

 

               

 

Felice Amadeo: autore di af1.it

af1.it è mantenuto dalla mia passione.
Se vuoi sostenere af1.it fai una donazione.

Se qualche articolo ti è piaciuto e vuoi fare una donazione, ti ringrazio.
Dona con PayPal