Certificati SSL: cosa sono, a cosa servono

🕐 9 minuti @ Condividi via Email
Aggiornato:
Certificati SSL
(photo by Tumisu on Pixabay)

Certificati SSL, Secure Sockets Layer, evoluzione dei TLS, Transport Layer Security, sono protocolli che rendono più sicura la connessione tra un dispositivo e un sito internet.


Cosa sono i certificati SSL

I certificati SSL, sono documenti crittografati, che in parole povere aggiungono una s agli URL, che iniziano invece che con http:// con https:// ovvero: HyperText Transfer Protocol over Secure Socket Layer (HTTPS), e si nota un piccolo lucchetto prima dell'URL.

Ovviamente, dal punto di vista tecnico, si va ben oltre la s aggiunta nell'indirizzo del sito web.

Le connessioni sicure, ad esempio di siti delle banche online, o dei siti e-commerce dove si eseguono transazioni, o comunque siti che trattano dati privati e sensibili.

Sono quasi un obbligo…

Da pochi anni a questa parte, sono di fatto diventati quasi un obbligo, anche perché i siti sprovvisti, sebbene non eseguano nessun tipo di transazione sensibile, vengono segnalati come “non sicuri”, una sorta di gogna sul web.

Un peccato, perché questi certificati rallentano il caricamento delle pagine, e se un sito, come il mio ad esempio, non ne ha bisogno, ormai è tenuto ad averli.

Presenza dei certificati SSL sul sito web

A questo punto, nel 2021, è più raro imbattersi in siti sprovvisti, che in siti con.

Da quando, qualche anno fa, Google li ha caldamente consigliati a tutti, anche su siti che non vendono nulla, e che non necessariamente trattano dati sensibili, quasi tutti li hanno adottati.

Let's Encrypt: certificati SSL gratuiti

Lodevole lo sforzo di Let's Encrypt, che ha avuto la grande idea di mettere a disposizione gratuitamente questi certificati, che sono a pagamento nelle versioni piè evolute.

Prima di Let's Encrypt, c'erano solo quelli a pagamento.

Sempre grazie a loro, molti hosting ormai forniscono gratuitamente i certificati SSL.

A pagamento

Quelli che uso su af1.it sono a pagamento (GeoTrust Rapid SSL), mentre quelli che avevo sui sottodomini, erano quelli gratuiti, forniti dal Provider.

Essendo gratuiti, c'è anche il rovescio della medaglia: anche un malintenzionato lo può utilizzare sul proprio sito, e dal momento che il lucchetto è presente, ci si sente maggiormente sicuri; ma non è così.

L'imponente distribuzione gratuita di certificati SSL, ha reso potenzialmente meno affidabili gli altri, quelli a pagamento, e con diverse certificazioni, e anche il prefisso https può non essere più indice di garanzia.

Certificati SSL ECV

Ci sono anche certificati che, pur offrendo una connessione crittografata, tuttavia non hanno l'Extended Validation Certificate (EV), che comporta una serie di controlli ulteriori, quindi di certificazioni, che stabiliscono una certa garanzia della connessione, e dello scambio dati tra utente, e sito.

Se decidi di affrontare la spesa dei certificati SSL, che in alcuni casi è obbligatoria, o comunque irrinunciabile, è probabilmente bene puntare ad avere il certificato con l'EVC, non però ottenibile da chiunque.

L'impatto visivo

Anche da un semplice aspetto visivo, che in internet non è cosa da poco per gli utenti, specialmente quelli meno esperti, offriva la famosa barra verde, e mostrava, cliccando con il tasto destro del mouse sull'icona a sinistra dell'URL, sulla barra degli indirizzi del browser, le certificazioni del sito e/o dell'organizzazione.

La reazione degli utenti

Installare un certificato SSL con relativo URL che inizia con https che poi mostra ancora la definizione “Identità non verificata”, può rivelarsi controproducente, e ripeto, soprattutto con gli utenti che hanno meno esperienza nell'utilizzo di internet, che sono certamente più sensibili a segnali di questo tipo, che possono, ahinoi, essere interpretati come allarmanti, anche quando non lo sono affatto.

Lo stesso effetto potenzialmente intimidatorio, che potrebbe avere il banner obbligatorio per dare il consenso all'utilizzo dei cookie.

EV: indispensabile per determinati siti

Per un sito di e-commerce, per una banca, la certificazione SSL con EV è praticamente indispensabile, quando possibile, per gestire con maggiore sicurezza dati personali degli utenti, incluse transazioni e acquisti online, oltre che garantire agli stessi l'identità della società.

Altro aspetto importante dell'avere queste certificazioni, è che l'utente può constatare, una volta in più, di avere a che fare con siti i cui gestori desiderano dimostrare trasparenza, e serietà professionale.

Gli organismi terzi

Questo non significa affatto di credere a chiunque e a qualsiasi cosa prometta, ma quando un sito ha queste certificazioni, sono date da organismi terzi, CA, che verificano l'attendibilità del sito, e dell'organizzazione, o del rappresentante, che ne ha responsabilità legale, e che tutto si svolga nei termini previsti dalla legge.

I diversi tipi di certificati SSL

Esistono diverse tipologie di certificato SSL, alcuni sono offerti a basso costo, mentre una spesa superiore implica maggiori e più complesse verifiche del sito, e della società tramite il suo legale rappresentante, quindi anche maggiore garanzia nei confronti dell'utente che, navigando nello specifico sito web, prende atto della bontà e serietà di chi il sito lo gestisce.

Praticamente, le certificazioni SSL si suddividono in:

• Validazione dominio, Domain Validated, DV;

• Validazione organizzazione, Organization Validated, OV;

• Validazione estesa, Extended Validated, EV;

per saperne di più, ti indico questo semplice e chiaro articolo su trustitalia.it

Le differenze

I diversi tipi di certificazione, devono essere valutati in base all'utilizzo che se ne deve fare, e contemporaneamente all'offerta all'utente di una certa garanzia.

La presenza dei certificati in determinati siti, dove vengono gestiti dati privati, è un requisito irrinunciabile, tuttavia non servono solo a questi, ma sono tranquillamente applicabili anche ad altri siti web.

Il certificato SSL, rende comunque più sicura la connessione, anche in un sito che non vende nulla e non esegue transazioni online, e non tratta dati come quelli delle carte di credito, dati personali, etc. in quanto la connessione è protetta da protocolli crittografati, tra dispositivo dell'utente, e il sito web certificato.

Certification Authority

I certificati auto-firmati, self-signed, praticamente non sono garantiti da organismi terzi, sono solamente un test che si esegue sul sito, e sul server.

Questo è un esempio: noviello.it e per saperne di pi&ugrave.

Le Certification Authority, sono le terze parti che devono verificare i requisiti idonei di un sito, e di un'organizzazione, prima di rilasciare le certificazioni; e i costi possono differenziarsi parecchio, e salire altrettanto, proprio in base all'ente certificatore, alla sua storia, se più o meno conosciuto, quindi anche molto più caro, a parità di prodotto identico.

Come se non bastasse, anche i rivenditori applicano prezzi talvolta parecchio differenti tra loro, anche in questo caso per prodotti identici.

Lasciamo perdere che già di per sé questo non serve assolutamente ad aiutare un potenziale cliente che desidera acquisire tali certificazioni, ma se un prezzo è 100 da una parte, non si comprende la logica per cui debba essere 200, il doppio, da un'altra per un prodotto identico.

CA molto conosciute sono GeoTrust, Verisign (Symantec), e sulla pagina di Wikipedia inglese se ne trovano altri.

Le differenze dei certificati SSL e i requisiti per ottenerli

Vediamo di comprendere meglio come si differenziano i certificati, o meglio, le necessarie procedure, perché questi siano attribuiti, fino al 2003, se non sbaglio, per avere certificazioni SSL il sito web doveva disporre di indirizzo IP dedicato; che comunque, è sempre una scelta valida.

• Il certificato SSL DV, richiede la rapida verifica della validità dei dati inseriti nel modulo di richiesta del certificato, relativi a:

• nome del dominio;

• dati del proprietario del sito e rappresentante legale;

in questi casi le CA inviano un'email un po' come accade quando il proprietario di un sito riceve email dall'ICANN (Internet Corporation for Assigned Names and Numbers), per verificare la correttezza dei dati dell'intestatario del dominio.

Quindi, praticamente con un'email tra Provider e CA, viene eseguita la verifica, viene certificato il sito, ma non la società che lo possiede, ammesso che ve ne sia una.

• Per quanto riguarda l'ICANN, va detto che la conferma di dati errati può causare la cancellazione del sito dal pubblico registro.

• Il certificato SSL OV invece, richiede tutta una serie di documenti da parte della CA, per verificare la veritiera esistenza di una società, organizzazione, il suo rappresentante legale, e la conseguente corretta veridicità della stessa, affinché non si tratti di eventuale furto di identità, o altri tipi di reato.

Massima certificazione

• Il certificato SSL EV, è la massima certificazione, che in quanto estesa verifica in modo ancora più scrupoloso l'attendibilità dei dati forniti tramite una serie di pratiche burocratiche, che possono includere anche lettere legali, al fine di verificare la precisa correttezza e veridicità delle informazioni acquisite, e il procedimento può durare anche diversi giorni.

In questo caso la barra degli indirizzi del browser da bianca diventa(va) verde nella parte iniziale, aspetto che inevitabilmente dava maggiore fiducia agli utenti nei confronti di un sito web.

Questa certificazione è quella più costosa, perché le verifiche da eseguire da parte delle CA sono sicuramente maggiori, e richiedono ovviamente più tempo.

Il certificato SSL EV non può essere richiesto da chiunque abbia un sito web, bensì da:

• Agenzie governative;

• Società;

• Associazioni (organizzazioni).

 

Felice Amadeo - af1.it
Dal 2006 lavoro con internet, scrivo i contenuti e provvedo alla gestione del sito. Ho conosciuto WordPress tanti anni fa, e dal 2013 uso questo.
Invecchiando, ho scoperto che mi piace portare il cappello.