motivo esagonale viola
Apprendimento

Cosa significa SSL?

Come ti immagini una transazione commerciale media, quando ci pensi? Come le casse del tuo supermercato? O come il chiosco di limonata in fondo alla via?

Con ogni probabilità non stai certo pensando a un sito web. Eppure, sono di più le transazioni avvengono in formato digitale. Di fatto, le vendite globali di e-commerce sono destinate a superare gli 8 miliardi di dollari entro il 2027, con un aumento del 42% rispetto al 2023.

Ecco il problema: le transazioni online spesso coinvolgono informazioni sensibili che viaggiano su dispositivi e reti potenzialmente insicuri. A loro volta, le interazioni digitali si devono mantenere private e sicure. Fortunatamente, questo è esattamente lo scopo per cui sono stati creati i certificati digitali e lo Strato di protezione (SSL).

Non le conosci? Non c'è problema: siamo qui per aggiornarti. Prosegui la lettura per avere maggiori informazioni sulla sicurezza dell'SSL, sull'importanza della crittografia e su come scegliere il certificato digitale giusto per la tua organizzazione.

Cosa significa SSL?

SSL sta per Livello socket protetto, un protocollo di sicurezza internet che autentica l'identità di un sito web e crea una connessione crittografata. Il protocollo SSL rappresenta una tecnologia fondamentale per garantire una connessione sicura e proteggere i dati sensibili inviati tra entità, come sito web, browser o un server.

Nel 1995 Netscape ha sviluppato l'iterazione originale di Secure Socket Layer. All'epoca, i dati web potevano essere trasmessi solo in chiaro, di conseguenza chiunque poteva intercettare e leggere il messaggio. Ancora più grave, era in grado di sottrarre qualsiasi informazione personale contenuta nel messaggio.

Il protocollo SSL 1.0 non fu mai rilasciato al pubblico a causa di diversi difetti di sicurezza che lo rendevano vulnerabile. Infine, due versioni dopo, SSL 3.0 ha fatto il suo debutto pubblico, consentendo una comunicazione sicura su Internet, almeno temporaneamente.

Che cos'è il Transport Layer Security (TLS, sicurezza a più livelli del trasporto)?

A tutti gli effetti, Transport Layer Security è il successore moderno del protocollo di sicurezza SSL originale. Tuttavia, molte persone si riferiscono all'SSL intendendo il TLS. Ultimamente si usa addirittura una combinazione dei due acronimi: Crittografia SSL/TLS.

Detto questo, non sono necessariamente intercambiabili, in quanto c'è una notevole differenza.

In termini semplici, la crittografia TLS è più sicura rispetto a quella precedente. Nel corso degli anni sono state sviluppate diverse versioni della sicurezza SSL, ciascuna delle quali presentava vulnerabilità che sarebbero state successivamente rivelate. Questo è il motivo per cui l'SSL non è stato aggiornato dal 1996 ed è ora considerato "obsoleto".

Pertanto, il TLS è il protocollo di sicurezza predefinito nel mercato contemporaneo, anche se viene ancora comunemente chiamato "SSL". Il Transport Layer Security 1.3, l'iterazione definitiva, corregge molti dei punti deboli esistenti nelle versioni precedenti, rendendo la connessione più sicura e protetta disponibile. Infatti, il National Institute of Standards in Technology (NIST) richiede che tutti i server e i client TLS governativi supportino TLS 1.2 e raccomanda alle agenzie di prevedere l'adozione di TLS 1.3 nel 2024.

Che cosa sono i certificati digitali?

Un certificato digitale è un documento elettronico che dimostra l'autenticità di un dispositivo, server web, utente o altra entità attraverso la crittografia e l'infrastruttura a chiave pubblica (PKI). I certificati digitali sono strumenti preziosi per aiutare le organizzazioni a garantire l'accesso alle loro reti unicamente alle entità attendibili.

Come spiegheremo, sono anche comunemente utilizzati per confermare l'autenticità di un sito web a un browser, consentendo a SSL di stabilire una connessione crittografata. Questo particolare tipo di certificato è noto come "certificato SSL" o "certificato TLS", ma lo tratteremo in seguito.

Perché gli SSL e i TLS sono importanti?

Come titolare di un sito web, i certificati SSL e TLS sono necessari per proteggere la tua organizzazione, i tuoi clienti e i tuoi dipendenti dai vettori di minacce sempre più audaci che mettono a dura prova la moderna sicurezza informatica. I siti web e i server privi di crittografia sono suscettibili di attacchi. Ciò significa che una miniera di dati sensibili potrebbe essere a rischio.

In effetti, la proprietà del dominio del sito web non deve essere presa alla leggera. In effetti, la proprietà del dominio di un sito web non va presa alla leggera. Ci sono diversi motivi per cui è necessario installare un certificato SSL o TLS:

  • Sicurezza dei dati: La sicurezza dell'SSL garantisce che le informazioni sensibili non siano accessibili agli utenti non autorizzati, ma solo ai destinatari previsti. Questo è particolarmente importante per salvaguardare credenziali di accesso, dati finanziari, informazioni personali e altri obiettivi di alto valore.
  • Resistenza agi attacchi di phishing: I certificati digitali impediscono anche alcuni tipi di attacchi informatici, come il phishing.. Gli hacker tentano comunemente di ingannare le vittime ignare inducendole a inserire i loro dati sensibili in un sito web falso, facendogli credere che sia reale. Tuttavia, un certificato TLS può autenticare il server web, informando gli utenti se il dominio è legittimo o meno.
  • Sicurezza dell'identità: La sicurezza SSL crittografa nomi utente, password e moduli utilizzati per inviare informazioni personali, creando così esperienze più sicure per i tuoi clienti.
  • Fidelizzazione e conversione dei clienti: I potenziali clienti che visitano il tuo sito web sono più propensi a completare l'acquisto se sanno che il processo di checkout è protetto da una connessione sicura. La sicurezza SSL può evitarti l'imbarazzo di una violazione dei dati, che notoriamente allontana almeno l'83% dei consumatori.
  • Posizionamento nei motori di ricerca: Google punisce i siti privi di certificati SSL segnalandoli come non sicuri, il che può avere un impatto negativo sul posizionamento nei motori di ricerca (SEO) e sulla visibilità del sito.
  • Conformità: I requisiti sempre più stringenti spingono le aziende a non sottovalutare la sicurezza delle comunicazioni. Ad esempio, il Regolamento generale sulla protezione dei dati (GDPR) in Europa implementa standard rigorosi per la crittografia. Le aziende che violano le norme GDPR sono soggette a multe da 20 milioni di euro o del 4% del fatturato annuo mondiale aziendale dell'anno finanziario precedente, a seconda dell'importo più alto.

Come funziona l'SSL?

Come funziona l'SSL?

È chiaro che la crittografia SSL è importante, ma come funziona? Lo spiegheremo dettagliatamente.

In generale, il processo è il seguente:

  1. Un browser o un server tenta di connettersi a un sito web (ad esempio un server web) protetto con SSL. Il client web invia un messaggio al server per avviare il processo.
  2. In risposta, il sito web restituisce una copia del suo certificato SSL noto come a chiave pubblica.
  3. Il browser/server verifica se può fidarsi o meno del certificato SSL. In questo caso, crea e invia una chiave privata crittografata al sito web.
  4. Il server web riceve e decritta la chiave privata. Quindi, crea una connessione crittografata e restituisce il contenuto al client.
  5. Infine, il client decrittografa il contenuto e può iniziare la sessione in sicurezza.

Questo processo è spesso chiamato "handshake SSL" (stretta di mano). Perché? Perché si tratta di un accordo tra le due parti, una stretta di mano appunto, che stabilisce la fiducia reciproca. A prima vista può sembrare complicato, ma in realtà accade nel giro di pochi millisecondi. In effetti, non c'è praticamente alcun impatto sull'esperienza dell'utente finale.

In particolare, l'SSL può essere aggiunto solo da siti web che dispongono di un certificato SSL o TLS. Questi certificati agiscono come un badge che autentica e verifica il proprietario del sito web. Un aspetto importante del certificato TLS è la chiave pubblica del sito web, un meccanismo che rende possibile la crittografia.

I dispositivi visualizzano la chiave pubblica e la utilizzano per creare chiavi di crittografia sicure con il server web. Contemporaneamente, il server web dispone di una chiave privata che viene sempre mantenuta segreta, poiché è quella che viene utilizzata per decifrare i dati crittografati dalla chiave pubblica.

Sono molte chiavi. Quindi, per riassumere, ecco di nuovo quelle definizioni:

  • SSL handshake: Negoziazione tra due parti, normalmente un browser/server e un server web, che stabilisce una connessione sicura.
  • Chiave pubblica: Una chiave crittografica utilizzata per crittografare i messaggi destinati a un determinato destinatario, decifrabile solo utilizzando un secondo strumento, ovvero la chiave privata.
  • Chiave privata: Conosciuta anche come chiave segreta, si utilizza per crittografare e decrittografare i dati, avviando così una sessione sicura.

Tipi di certificati SSL/TLS

I certificati digitali possono essere suddivisi per tipo e livello di convalida. Esaminiamo innanzitutto i tre principali tipi di certificati SSL e TLS:

  1. Dominio singolo: Il certificato SSL, come suggerisce il nome, si applica a un solo sito web a dominio singolo. Non si può utilizzare per autenticare nessun altro dominio, inclusi i sottodomini del sito web a cui è stato rilasciato.
  2. Wildcard: Allo stesso modo, un certificato wildcard si applica a un solo dominio, ma può includere anche i suoi sottodomini. Quindi, puoi usarlo per salvaguardare le informazioni sensibili e autenticare tutto sotto la macrocategoria del dominio.
  3. Multidominio: Al contrario, un SSL multidominio può elencare più domini non correlati a un'unica certificazione SSL.

I certificati digitali sono inoltre dotati di diversi livelli di convalida, utilizzati da un'autorità di certificazione (CA) per dimostrare la proprietà del dominio. Esistono diversi livelli di convalida, che vanno da una convalida minima fino a rigorosi controlli di base. Analizziamo ciascuno di essi in modo più dettagliato:

Convalida estesa (Certificati EV SSL)

La maggior parte degli utenti online preferisce un certificato SSL EV perché viene fornito con il controllo di verifica più completo, compresi verifica del dominio e controlli incrociati che collegano l'entità a un luogo fisico specifico.

Questo tipo di verifica lascia una traccia cartacea dettagliata che fornisce ai clienti la possibilità di ricorso in caso di frode durante le transazioni su quel sito web.

Certificati con convalida dell'organizzazione (Certificati OV SSL)

I domini che ottengono un Certificato OV vengono sottoposti a un processo che è leggermente meno rigoroso. La CA contatta la persona o l'azienda che richiede il certificato, ma non esegue un controllo completo del soggetto.

Oltre alla proprietà del dominio, l'azienda viene convalidata e i dettagli del certificato si possono visualizzare sulla maggior parte dei principali browser web, consentendo agli utenti la possibilità di determinare se il sito su cui si trovano è legittimo.

Certificati con convalida del dominio (Certificati DV SSL)

Un sito web protetto con un certificato DV offre solo un lucchetto chiuso nella barra degli indirizzi, ma non mostra i dettagli dell'organizzazione perché non esistono. Questi certificati convalidano solo la proprietà del dominio, possono essere acquisiti in modo anonimo e non legano un dominio a una persona, luogo o entità.

Come scegliere e ottenere un certificato SSL

I certificati digitali sono disponibili in tutte le forme e dimensioni e offrono vari livelli di protezione e garanzia. È importante scegliere il certificato SSL/TLS adatto alle tue esigenze aziendali, altrimenti rischierai l'esposizione a potenziali attacchi e a violazioni della conformità.

In primo luogo, considera il livello di convalida richiesto dalla tua organizzazione. Il tuo settore prevede rigorosi standard di protezione e crittografia dei dati? Che tipo di garanzia cercano i clienti a cui ti rivolgi? Che tipo di informazioni personali raccogli? Queste domande dovrebbero indirizzarti correttamente.

Successivamente, dovrai selezionare il tipo di certificato richiesto per i tuoi scopi specifici. Domandati: Come usi le chiavi? Hai una richiesta di server web standard o un cluster di scambio che devi coprire? Ti servirà un certificato multidominio?

Hai ancora dubbi? Per ulteriori indicazioni prova il nostro Strumento di selezione dei certificato SSL.

Acquisizione del certificato

Una volta ristretta la scelta, dovrai inviare la richiesta di firma del certificato (CSR) a un'autorità di certificazione autorizzata, come Entrust.

Inoltre, per ogni dominio incluso nel certificato è necessaria l'autorizzazione del suo proprietario. Una CA non può elaborare le richieste di certificato se il nome di dominio non è registrato all'azienda richiedente, alla sua organizzazione madre o a una delle sue filiali. Dovrai fornire un numero di telefono aziendale e le informazioni di contatto di un dirigente. Ecco che cosa ti servirà:

  • Informazioni di pagamento valide
  • Informazioni di contatto per l'autorizzazione
  • Informazioni di contatto tecnico
  • Informazioni di contatto per la fatturazione
  • Una CSR (richiesta di firma del certificato) completata
  • Un elenco di tutti i domini

Entrust offre un accesso flessibile e conveniente a un'ampia gamma di certificati SSL/TLS, consentendoti di effettuare la scelta migliore per la tua organizzazione.

Domande frequenti sugli SSL

L'SSL è più sicuro dell'HTTP?

La risposta in breve? È affermativa. HTTP è l'acronimo di Hypertext Transfer Protocol. Questi protocolli, uniti all'SSL, creano gli HTTPS, una forma sicura di HTTP in cui le connessioni sono crittografate in modo sicuro. I browser moderni scoraggiano le connessioni HTTP non protette, poiché, per garantire la sicurezza, non utilizzano la crittografia.

Quali sono le differenze tra crittografia simmetrica e asimmetrica?

La crittografia simmetrica utilizza la stessa chiave crittografica per la crittografia e la decrittografia. La crittografia asimmetrica, invece, utilizza una chiave pubblica e una privata; per questo motivo è considerata l'opzione più sicura ed è utilizzata dalla maggior parte dei certificati digitali.

È possibile utilizzare un certificato SSL su più server?

I certificati SSL possono essere utilizzati su più server se il fornitore che li ha emessi lo consente. Ciò è reso possibile grazie alla potenza di certificati multidominio.

Entrust: Il tuo punto di riferimento per la crittografia SSL

Entrust è membro fondatore del Consiglio di sicurezza dell'autorità di certificazione (CA) e del CA/Browser Forum. I nostri esperti di sicurezza digitale contribuiscono attivamente allo sviluppo di standard di settore per TLS/SSL, firma dei documenti, certificati di firma del codice e gestione dei certificati.

Più che una semplice leadership, offriamo un portafoglio solido e affidabile di certificati digitali per un'ampia gamma di requisiti aziendali. Ecco che cosa ricevi grazie alla piattaforma pluripremiata di certificati di Entrust:

  • Supporto pluripremiato
  • Compatibilità universale con il browser
  • Riemissioni illimitate
  • Licenze server illimitate
  • Crittografia a 128 o 256 bit
  • Tutti i certificati Entrust sono conformi all’ampiamente accettata infrastruttura a chiave pubblica internazionale (PKI) x.509.

Per saperne di più sulle funzionalità di crittografia SSL di Entrust scarica il nostro eBook oggi stesso.

Scarica l'eBook