Cos'è un certificato SSL? Definizione e guida

Agli albori di Internet, tutte le richieste e le risposte dei siti web venivano trasferite sotto forma di “testo normale”. Ciò significava che erano potenzialmente visualizzabili da “intercettatori” digitali, il che rendeva rischiosa la trasmissione di credenziali di accesso, numeri di carte di credito e altre informazioni personali sensibili.

A metà degli anni '90, Netscape sviluppò un protocollo di sicurezza per criptare le informazioni riservate necessarie alla distribuzione e alla trasmissione dei contenuti web. Tale protocollo fu chiamato SSL (Secure Sockets Layer) e si sarebbe poi evoluto in un altro protocollo noto come TLS (Transport Layer Security).

Sebbene SSL e TLS differiscano per capacità e architettura, entrambi garantiscono sicurezza tramite l'uso di una tecnologia digitale denominata certificato SSL.

Che cos'è un certificato SSL?

Un certificato SSL è un certificato digitale che autentica l'identità di un sito web e stabilisce una connessione criptata tra il sito e un browser. Alle volte, questo tipo di certificato è chiamato anche "certificato SSL/TLS" o semplicemente "cert".

I certificati SSL proteggono l'identità della connessione remota e rendono private le interazioni online, garantendo che nessuno possa leggere o modificare i contenuti condivisi attraverso la connessione sicura, eccetto il mittente e il destinatario. Un certificato SSL funge come da passaporto per verificare l'identità del proprietario del sito web e come chiave per mantenere sicuri i dati degli utenti grazie a una potente crittografia.

Che cos'è un'autorità di certificazione (CA) SSL?

I certificati SSL sono rilasciati da organizzazioni chiamate autorità di certificazione (CA). Una CA è un'organizzazione terza fidata che garantisce l'identità di un sito web. Queste autorità sono considerate affidabili perché sono poche, ben conosciute e devono rispettare standard molto elevati per poter operare. Esistono poco più di 100 autorità di certificazione in tutto il mondo e vengono ampiamente verificate per essere incluse come root affidabili dai fornitori di browser web e sistemi operativi.

Prima di emettere un certificato, la CA verifica le informazioni del richiedente, come la proprietà del sito, il nome, la posizione e molto altro, in conformità agli standard consolidati nel settore. La CA firma poi digitalmente il certificato con la propria chiave privata, consentendo ai clienti di verificarlo. Per fornire questo servizio, la maggior parte delle CA applica una piccola tariffa annuale (anche se esistono host web e CA non a scopo di lucro che offrono certificati SSL gratuiti).

Il certificato SSL vero e proprio è un file digitale di dimensioni ridotte, in genere di pochi kilobyte, che viene installato sul server che supporta TLS ed è condiviso con altri. Questo file contiene:

• Il nome del dominio del sito per cui è stato rilasciato il certificato
• L'organizzazione a cui è stato rilasciato (il titolare del certificato)
• Il nome dell'autorità di certificazione che lo ha emesso
• La firma digitale dell'autorità di certificazione
• Eventuali sottodomini associati
• La data di emissione e di scadenza del certificato
• La chiave pubblica (nota: la chiave privata non viene condivisa)

Ogni volta che utilizzi un browser per connetterti a un URL che inizia con "https" o vedi un'icona con un lucchetto verde nella barra degli indirizzi del browser, sai di avere una connessione TLS sicura verificata da un certificato SSL rilasciato da una CA. Cliccando sull'icona del lucchetto sarà possibile visualizzare ulteriori informazioni sul certificato SSL, sul titolare del dominio e sulla connessione.

Il lucchetto indica che la connessione al sito è sicura, ma non significa necessariamente che il sito sia sicuro da utilizzare. In altre parole, il fatto che sia possibile connettersi in modo sicuro a un sito non significa che non possa essere controllato da soggetti malintenzionati.

Come funziona un certificato SSL?

Un certificato SSL utilizza algoritmi di crittografia per codificare i dati durante la trasmissione. Questo garantisce che qualsiasi dato trasferito tra un browser e un sito web non possa essere letto da terzi.

La comunicazione sicura tramite TLS si basa su due certificati, uno pubblico e uno privato, per creare la connessione sicura.

Quando un browser tenta di connettersi a un sito web protetto da TLS, la comunicazione viene stabilita attraverso un "handshake", ovvero una serie di comunicazioni avanti e indietro che richiedono solo pochi millisecondi. I passaggi di questo handshake sono:

1. Il client (browser) si connette al sito web protetto da SSL (server).
2. Il client richiede al server di identificarsi.
3. Il server invia una copia del suo certificato SSL.
4. Il client esamina il certificato SSL per verificarne l’affidabilità e segnala al server se è accettabile.
5. Il server avvia un accordo firmato digitalmente per iniziare una sessione criptata con SSL.
6. I dati criptati ora scorrono liberamente e in tutta sicurezza tra il browser e il server.

Il primo handshake avviene mediante crittografia asimmetrica, basata su chiavi pubbliche e private. Dopo la convalida, il client e il server si scambiano chiavi private temporanee, utilizzate solo per quella sessione. Questo permette una crittografia e una decrittografia più efficienti.

Tipi di certificati SSL

Per sfruttare al meglio il protocollo SSL, è bene scegliere il certificato SSL giusto. Esistono tre tipi di certificati SSL standard:

1. Certificato con convalida del dominio (DV)
2. Certificato con convalida dell’organizzazione (OV)
3. Certificato con convalida estesa (EV)

I vari certificati SSL si prestano a finalità diverse e hanno costi differenti.

Certificato con convalida del dominio (DV)

Costo: da 0 a 99 euro all'anno circa

Un certificato SSL DV comporta una verifica minima e automatica dell'identità, stabilendo solo che il proprietario ha il controllo sul dominio o sottodominio. Di solito questa verifica viene effettuata via e-mail.

Un certificato SSL DV è il modo meno costoso per ottenere un cert e la maggior parte dei certificati SSL gratuiti sono di questo tipo. Bisogna considerare però che rappresenta il livello più basso di sicurezza per un sito web. I certificati DV sono utili per blog, siti web individuali, piccole imprese o qualsiasi sito con esigenze di sicurezza più basilari.

Certificato con convalida dell’organizzazione (OV)

Costo: da 100 a 999 euro all'anno circa

Un certificato SSL OV offre una garanzia più forte dell'identità del titolare. Per ottenere un certificato OV, l'acquirente deve superare nove controlli di convalida.

Si tratta di un certificato aziendale di medio livello e la CA emittente garantisce che l'organizzazione affiliata al certificato è valida e in regola. È un buon approccio per le aziende che non effettuano transazioni finanziarie o di ecommerce attraverso il loro sito.

Certificato con convalida estesa (EV)

Costo: più di 1.000 euro all'anno

Un certificato SSL EV rappresenta il più alto livello di verifica dell'identità, adatto soprattutto a società, enti finanziari e siti web di ecommerce. Sono previsti sedici controlli di convalida, tra cui l'identità legale e la sede fisica.

L'utente finale vede la barra del browser verde, che indica il massimo livello di verifica, e ulteriori informazioni sull'azienda dietro il lucchetto.

Cosa fare se si devono proteggere più domini?

Un singolo certificato SSL protegge un singolo nome di dominio. Tuttavia, molte aziende hanno bisogno di una soluzione che protegga più nomi di dominio o sottodomini. Per queste aziende, il protocollo SSL offre due soluzioni diverse: un certificato SSL wildcard o un certificato SSL multidominio.

Certificato SSL wildcard

Costo: varia

Alcune aziende utilizzano più sottodomini (ad esempio, mail.esempio.com, shop.example.com) per svolgere diverse funzioni sullo stesso sito web. Per queste organizzazioni, la soluzione SSL migliore è in genere un certificato SSL wildcard. Un certificato SSL wildcard protegge il dominio principale di un sito web e tutti i sottodomini associati, riducendo i costi e semplificando le procedure amministrative.

Certificato SSL multidominio

Costo: varia

Se da un lato i certificati SSL wildcard aiutano il titolare di un sito web a proteggere i sottodomini all'interno di un singolo dominio, dall'altro i certificati SSL multidominio (MDC) possono essere utilizzati per proteggere più nomi di dominio contemporaneamente. È possibile aggiungere altri domini a un certificato multidominio tramite “nomi alternativi di soggetto” (SAN) senza dover acquistare un ulteriore certificato SSL a dominio singolo. I certificati SSL multidominio sono talvolta conosciuti come certificati di comunicazione unificata (UCC).

Come ottenere un certificato SSL

Il processo per l'acquisizione di certificati SSL a uno o più domini e per la protezione dei dati degli utenti sul tuo sito web può essere complesso. Di seguito ti illustriamo come procedere.

1. Stabilisci il livello di sicurezza del sito web di cui hai bisogno. Scegli tra un certificato SSL DV, OV o EV. Se hai più domini o sottodomini, potresti dover aggiungere o sostituire un certificato wildcard o MDC. Esamina le tue esigenze organizzative e il tuo budget e scegli il livello di verifica dell'identità più adeguato.
2. Individua i domini e i sottodomini da supportare. Se ne hai solo uno, potresti non aver bisogno di ottenere un certificato wildcard.
3. Scegli un'autorità di certificazione/fornitore. Per le esigenze di fascia bassa, potrebbe essere sufficiente collaborare con il proprio provider di web hosting e ottenere un certificato gratuito. I certificati multidominio e i certificati EV richiedono invece la stipula di un accordo a pagamento con un'autorità di certificazione. Confronta le opzioni disponibili.
4. Richiedi un certificato al fornitore SSL che hai scelto. Questo generalmente comporta la compilazione di moduli web e l’effettuazione di pagamenti.
5. Verifica la titolarità e altri dettagli. La CA controllerà le informazioni fornite nella domanda, richiedendo come minimo la verifica via e-mail della proprietà del dominio.
6. Ottieni e installa il certificato. Questo passaggio dipende dalla CA che hai scelto e dalla tua piattaforma web. In linea generale, dovrai scaricare un file ZIP contenente tre chiavi: la chiave pubblica, la chiave privata e un bundle dell'autorità di certificazione. Se collabori con un host web commerciale, la console di amministrazione del tuo sito includerà solitamente degli strumenti per l'installazione del certificato. Se invece lavori sul tuo hardware, più vicino al sistema operativo e al server web, segui la documentazione relativa a quell'ambiente.
7. Configura altre app per usare il certificato. Se intendi supportare le connessioni SSL ad altre applicazioni sui tuoi server (es., WordPress, e-mail, ecc.), dovrai configurarle per utilizzare il tuo certificato e il protocollo TLS.
8. Verifica che la tua connessione sicura funzioni. Collegati al tuo sito web e/o ad altre app e accertati di avere una connessione sicura. Clicca sul lucchetto e verifica le informazioni visualizzate nel tuo browser.
9. Invia il tuo sito o i tuoi siti ai motori di ricerca. I tuoi nuovi siti web "https" sono diversi dai tuoi vecchi siti "http". Se i tuoi utenti si affidano ai motori di ricerca per trovarti, dovrai inviare nuovamente il tuo nuovo indirizzo web https a tali perché possano indicizzarlo.