Passa al contenuto principale
Immagine
motivo esagonale viola

Le autorità di certificazione sono una parte fondamentale del più ampio ecosistema della sicurezza informatica sia che si tratti di trust pubblico che privato. Non sai di cosa si tratta o come funzionano? Nessun problema.

Ecco tutto quello che devi sapere sulle autorità di certificazione, compreso come scegliere la migliore per le tue esigenze aziendali.

Che cos'è una Certificate Authority?

Una Certificate Authority (CA), a volte chiamata autorità di certificazione, è un'entità che convalida l'identità digitale di siti web, indirizzi e-mail, aziende o singole persone. A tal fine, utilizzano risorse crittografiche chiamate certificati digitali, che forniscono un modo per dimostrare l'autenticità.

Ad esempio, i browser web collaborano con le CA per autenticare i siti web, assicurando che non siano gestiti da hacker o malintenzionati. Se le autorità di certificazione non esistessero, non sarebbe sicuro acquistare, effettuare operazioni bancarie o trasmettere informazioni sensibili su Internet. La "s" nel prefisso https vuol dire "sicuro", quindi sai che il proprietario del sito web è stato verificato da un'autorità di certificazione (CA).

CA pubblica e CA privata: Qual è la differenza?

Le autorità di certificazione sono pubbliche o private. Sebbene svolgano funzioni simili, ci sono importanti differenze tra le due categorie:

  • CA pubblica: Questo gruppo comprende entità che forniscono servizi al pubblico in generale. I loro certificati sono accettati a livello globale e sono quindi adatti a proteggere siti web, transazioni online e altri casi di utilizzo digitale. È disponibile un numero limitato di CA pubbliche, ma hanno Root of Trust significative con i principali provider di browser web.
  • CA privata: Questa categoria comprende le Certificate Authority specifiche per l'uso interno dell'azienda. In altre parole, emettono certificati esclusivamente per scopi e casi d'uso interni, come reti private e VPN, autenticazione utenti e Code Signing. Per estensione, una CA privata è "attendibile" solo per gli utenti interni all'organizzazione e raramente rilascia certificati a entità esterne. Per questo motivo viene comunemente definita anche "CA locale".

Perché le Certificate Authority sono considerate affidabili?

Una CA pubblica è un'entità rigorosamente verificata che deve soddisfare i requisiti di base stabiliti dal CA/Browser Forum . Le Certificate Authority e i browser internet collaborano per sviluppare standard più rigorosi e uniformi per la gestione e l'emissione dei vari certificati digitali.

Grazie a questi requisiti di base, le CA pubbliche sono riconosciute e accettate a livello globale per la maggior parte delle applicazioni. Tuttavia, non possono supportare casi d'uso interni, ed è qui che entra in gioco una CA privata. Ogni CA privata ha una politica che stabilisce a cosa serve e i processi e i controlli che utilizza per emettere i certificati. A loro volta, sono considerati attendibili e altamente sicuri.

Che cos'è un certificato digitale?

In breve, i certificati digitali rappresentano un modo per dimostrare l'autenticità di un dispositivo, di un server web, di un utente o di un'entità. Hanno una funzione simile a quella della patente di guida o del passaporto: forniscono una forma di identificazione e verificano alcune autorizzazioni. Tuttavia, più che il permesso di guidare o di entrare in un paese, i certificati digitali svolgono tre funzioni principali:

  1. Autenticazione: I certificati fungono da credenziali che convalidano l'identità di qualsiasi entità a cui vengono rilasciati, come un dominio web o un'organizzazione.
  2. Crittografia: Proteggono le comunicazioni su Internet criptando le informazioni inviate online, come nomi utente e password o e-mail.
  3. Accesso: I certificati garantiscono che i documenti firmati digitalmente non vengano alterati da terzi, salvaguardando così la loro integrità.

Tutto ciò è reso possibile dall'infrastruttura a chiave pubblica (PKI). In breve, la PKI comprende tutto l'hardware, il software, le procedure e le politiche necessarie per generare e conservare le chiavi crittografiche, cioè le risorse che rendono possibile la crittografia, la decrittografia e la verifica.

Come funziona l'infrastruttura a chiave pubblica?

Nell'ambito della PKI, tutti i certificati digitali sono collegati a una particolare coppia di chiavi: una chiave pubblica e una chiave privata. Ciascuna di queste risorse crittografiche è una lunga stringa di bit utilizzata per criptare e decriptare i dati. Ogni certificato è unico per una persona o un'entità specifica e funziona come un passaporto per l'identificazione.

La chiave pubblica è liberamente disponibile a chiunque la richieda, e consente di criptare le informazioni sensibili prima di inviarle all'entità associata. Tuttavia, quel messaggio può essere decriptato solo con la chiave privata, nota solo al proprietario della chiave pubblica.

Ma come puoi sapere che il mittente di una chiave pubblica è chi afferma di essere? In breve, è qui che entrano in gioco i certificati. Non contengono solo la chiave pubblica, ma anche informazioni relative al suo proprietario, alla CA che l'ha emessa, ai dati su cui è stata creata e a quando scadrà. Questo aiuta a verificare che la chiave appartenga effettivamente all'entità dichiarata e non a un malintenzionato.

Che cos'è la Gestione dei certificati?

La gestione dei certificati è il processo di gestione dei certificati digitali durante tutto il loro ciclo di vita, dal provisioning al rinnovo, fino alla revoca. Tuttavia la gestione dei certificati può essere impegnativa per le organizzazioni che dispongono di un numero crescente di certificati.

Con l'aumento dell'uso dei certificati digitali, i processi di gestione manuale (ad esempio i fogli di calcolo) non sono sostenibili. Molte aziende si stanno rivolgendo a strumenti di gestione del ciclo di vita che non solo forniscono una visibilità completa dei loro inventari crittografici e del loro patrimonio di certificati, ma forniscono anche un livello di automazione estremamente necessario.

Tipi di certificati digitali:

I certificati digitali, in quanto fondamento della privacy e della protezione, sono essenziali per salvaguardare le interazioni online. La maggior parte delle autorità di certificazione offre una serie di tipi di certificati per diversi casi d'uso, livelli di garanzia, requisiti di conformità e altre applicazioni. Queste includono:

Certificati di firma documenti

Come suggerisce il nome, un certificato di firma documenti si utilizza per firmare i documenti elettronici. Ma soprattutto, assicurano l'integrità del documento, verificando che il contenuto non sia stato manomesso, e verificano l'identità del firmatario. Sono particolarmente utili per i contratti legali, in quanto possono aiutare le organizzazioni a sostenere la Non-Repudiation.

Certificato di firma del codice

Allo stesso modo, un Certificato di firma del codice consente agli sviluppatori di software di firmare digitalmente applicazioni e programmi. In questo modo gli utenti finali possono verificare che il codice che ricevono non sia stato alterato o manipolato, proteggendo entrambe le parti da frodi, malware e furti.

Certificati TLS/SSL

Probabilmente i due tipi più comuni di certificati digitali sono i certificati TLS e SSL. TLS significa "Transport Layer Security", mentre SSL indica "Secure Sockets Layer". Entrambi sono protocolli di sicurezza internet che autenticano l'identità e stabiliscono connessioni crittografate con il browser.

Tecnicamente, il certificato SSL è obsoleto e la crittografia TLS ne ha preso il posto. Tuttavia, il termine "SSL" è ancora comunemente utilizzato in riferimento al Transport Layer Security. Ecco perché, il più delle volte, si vede una combinazione dei due acronimi: TLS/SSL.

Questo tipo di certificato viene normalmente utilizzato per l'autenticazione di siti web, client e server. Dietro questa ampia categoria, ci sono diversi tipi specifici di certificati TLS/SSL, tra cui:

  • Certificati a convalida estesa (EV): I certificati SSL a convalida estesa (EV) forniscono la massima sicurezza e la procedura di verifica è la più rigorosa. Quando si implementano su un sito web, i visitatori possono vedere l'icona di un lucchetto, il nome dell'organizzazione e la designazione "S" dopo HTTP. Questo tipo di certificato è generalmente utilizzato per le applicazioni web che richiedono la garanzia dell'identità per la raccolta di dati, l'elaborazione degli accessi o l'esecuzione dei pagamenti online.
  • Certificati di convalida dell'organizzazione (OV): I certificati SSL OV offrono garanzia di identità e crittografia e sono i più adatti per crittografare le informazioni degli utenti durante le transazioni. La maggior parte dei siti web rivolti ai consumatori è legalmente obbligata a implementare certificati SSL OV per garantire che la riservatezza delle informazioni comunicate durante una sessione.
  • Certificati con convalida del dominio (DV): I certificati SSL di convalida del dominio (DV, Domain Validation) hanno meno requisiti di verifica dell'identità rispetto ai certificati EV o OV limitandosi a dimostrare il controllo del dominio. Sono spesso usati per applicazioni a basso rischio, come blog, comunità di utenti o siti informativi. In questo modo i certificati DV sono meno costosi e più semplici da ottenere.
  • Certificati Wildcard SSL: I certificati Wildcard SSL sono verificati a livello di convalida dell'organizzazione e rappresentano una soluzione conveniente per proteggere un dominio di base e un numero qualsiasi di sottodomini affiliati. Oltre a essere meno costosi rispetto all'acquisto di più certificati singoli, sono più semplici perché gli utenti non devono inviare più di una richiesta di firma del certificato o gestire le date di scadenza di diversi certificati TLS/SSL per numerosi URL.
  • Certificati SSL per comunicazioni unificate (UC): Questi certificati vengono verificati a livello di convalida estesa o di convalida dell'organizzazione. Un modo efficiente per consolidare più certificati è quello di sfruttare i nomi alternativi del soggetto (SAN, Subject Alternative Names) per risparmiare sui costi. I certificati SSL UC stabiliscono identità affidabili ed eliminano le notifiche del browser che avvertono i visitatori di non accedere al tuo sito.

Perché i certificati TLS/SSL sono importanti?

Disporre di certificati TLS/SSL attendibili provenienti da una Certificate Authority rispettabile è estremamente importante per una serie di motivi:

  • Aumento dei requisiti di conformità: Il Regolamento europeo in materia di protezione generale dei dati (General Data Protection Regulation, GDPR) implementato in Europa è stato adottato in tutto il mondo. Le organizzazioni che violano gli standard del GDPR rischiano multe elevate o perdita di fatturato.
  • Perdita di visibilità sui motori di ricerca: I motori di ricerca stanno inasprendo i controlli sui siti web che rappresentano una minaccia alla sicurezza inserendo indicatori di sicurezza negativi e rimuovendo i siti dai risultati dei motori di ricerca.
  • Maggiore sicurezza dei dati: È fondamentale proteggere password, numeri di carte di credito, transazioni finanziarie e altri dati di alto valore.
  • Enfasi sull'identità attendibile: La Certificate Authority verifica l'identità delle organizzazioni, conferma che l'azienda ha il controllo dei suoi domini e si assicura che chi richiede il certificato sia un dipendente dell'entità associata.

Vuoi avere maggiori informazioni sui certificati TLS/SSL? Leggi il nostro ultimo eBook.

Come funzionano le CA pubblicamente attendibili?

Il processo inizia quando il richiedente genera una coppia di risorse crittografiche: la chiave pubblica e la chiave privata, oltre a una richiesta di firma del certificato. (CSR). In breve, una CSR è un file codificato che include la chiave pubblica e altre informazioni pertinenti da includere nel certificato.

Ciò può includere il nome del dominio corrispondente, l'organizzazione e le informazioni di contatto, ma in definitiva varierà a seconda del livello di convalida e del caso d'uso previsto. La chiave privata, tuttavia, viene sempre tenuta segreta e non deve essere mostrata a nessuno, nemmeno alla CA.

Successivamente, il richiedente invia la richiesta di firma del certificato alla CA emittente. L'organizzazione della CA emittente verificherà in modo indipendente la correttezza delle informazioni contenute nella CSR. In caso affermativo, firmerà digitalmente il certificato con la propria chiave privata e lo rimanderà indietro, aggiungendo un livello di fiducia nel processo.

Infine, il certificato digitale può essere autenticato utilizzando la chiave pubblica, ad esempio quando qualcuno visita il sito web del richiedente attraverso un browser. Inoltre, i browser confermano che il contenuto del certificato non è stato alterato o manomesso da quando è stato firmato dalla CA emittente.

Che cos'è una catena di fiducia?

La catena di fiducia è una gerarchia utilizzata dai certificati per verificare la validità della CA emittente. In questo modello, i certificati vengono emessi e firmati da altri certificati posizionati a un livello superiore della catena. Questo permette a chiunque voglia verificare l'autenticità di un certificato di risalire all'originale della CA, noto come "certificato root".

Nel complesso, questa procedura è la somma di tre parti:

  1. Un punto di ancoraggio è rappresentato dalla CA di origine. Il loro certificato radice è normalmente scaricato in anticipo nella maggior parte dei browser in un "archivio attendibile".
  2. Almeno un certificato intermedio che si dirama dai certificati radice come un albero. Forniscono un cuscinetto tra l'autorità di certificazione attendibile e l'entità finale.
  3. Il certificato dell'entità finale convalida l'identità di un sito web, un'azienda o una persona. La catena di fiducia garantisce che le CA rispettino gli standard di conformità, in particolare quelli relativi a sicurezza, privacy e scalabilità.

Come si sceglie una Certificate Authority?

Non tutte le CA sono progettate o in grado di proteggere lo specifico caso d'uso della tua organizzazione. Alcune non funzioneranno con la tua infrastruttura IT, ma altre potrebbero non disporre dei servizi che stai cercando. Ecco alcune considerazioni chiave da considerare durante la valutazione di una Certificate Authority:

  • La CA protegge adeguatamente il tuo marchio?
  • La CA segue le migliori prassi del Certificate Authority Browser Forum?
  • La CA offre politiche di licenza e prezzi flessibili?
  • La CA può crescere insieme alla tua organizzazione per soddisfare le esigenze attuali e future?
  • La CA partecipa attivamente al Consiglio di sicurezza dell'autorità di certificazione (CA)?

Affida a Entrust i tuoi certificati digitali

C'è un motivo per cui innumerevoli organizzazioni si rivolgono a Entrust per le loro esigenze di certificati pubblici e privati. In qualità di Certificate Authority riconosciuta a livello mondiale, vantiamo decenni di esperienza nell'emissione e nella gestione di certificati. Inoltre, offriamo un unico pannello di controllo per gestire i certificati pubblici e privati, compresi quelli emessi da altre CA. 

E, in qualità di membro fondatore del CA Security Council e del CA/Browser Forum, siamo sempre all'avanguardia negli standard di settore. Con un ampio portafoglio di certificati e soluzioni digitali, hai accesso a un elenco crescente di prodotti e servizi innovativi.

Ecco che cosa ricevi grazie alla piattaforma pluripremiata di certificati di Entrust:

  • Supporto senza pari
  • Compatibilità universale con il browser
  • Riemissioni illimitate
  • Licenza server illimitata crittografia da 128 a 256 bit

Iniziamo? Esplora oggi stesso la nostra soluzione di Certificate Authority.