Che cos'è la catena di fiducia dei certificati SSL?
La catena di fiducia SSL garantisce la sicurezza online collegando un certificato di entità finale a un CA radice affidabile tramite certificati intermedi. Questa struttura consente ai browser di verificare l'identità dei siti Web e abilitare comunicazioni crittografate, prevenendo l'uso di certificati scaduti o fraudolenti.
Indice
Che cos'è la catena di certificati?
Una catena di certificati costituisce la base per stabilire la fiducia nell'identità di un'entità online e per proteggere le connessioni su Internet. In questa catena, una serie di certificati digitali segue il certificato di un'entità finale (cioè, un certificato di facciata), ciascuno firmato dalla successiva Autorità di certificazione (CA) della catena per stabilirne l'autenticità. Alla fine della catena si trova un'ancora di fiducia, la chiave pubblica di verifica di una CA affidabile.
Qual è lo scopo del concatenamento dei certificati?
Il concatenamento dei certificati è essenziale per la sicurezza informatica. Stabilisce la fiducia nelle comunicazioni digitali attraverso una struttura gerarchica e consente agli utenti di interagire con le entità online con fiducia. L'autenticazione impedisce a soggetti malintenzionati di spacciarsi per siti web legittimi (ad esempio, in un attacco di phishing), mentre la crittografia garantisce una trasmissione sicura dei dati.
La fiducia stabilita attraverso la catena di certificati impedisce ai criminali di intercettare informazioni sicure, il che può portare a violazioni e furti di dati. La catena di certificati contribuisce inoltre a bloccare gli attacchi man-in-the-middle (MITM), impedendo agli hacker di utilizzare certificati scaduti, revocati o fraudolenti.
Una catena di certificati consente agli utenti di stabilire la fiducia con un'entità online in varie transazioni digitali, ad esempio per condividere dati personali, inserire credenziali di accesso o informazioni di pagamento. È inoltre essenziale per le aziende per conformarsi alle varie normative sulla privacy dei dati e agli standard di sicurezza, come l'Health Insurance Portability and Accountability Act (HIPAA), il Payment Card Industry Data Security Standard (PCI DSS) e il General Data Protection Regulation (GDPR).
Componenti di una catena di certificati
La struttura gerarchica della catena di certificati crea un modello in cui la fiducia scorre dall'alto (cioè il certificato radice) verso il basso (cioè il certificato foglia).
- Certificato radice: Una CA fidata al vertice della gerarchia dei certificati emette e autofirma un certificato radice come ancora di fiducia per stabilire la credibilità di tutti i certificati delle CA associate.
- Certificato intermedio: Uno o più certificati intermedi si trovano tra il certificato root e il certificato leaf in una catena di fiducia, ciascuno emesso da una CA intermedia certificata da una CA root.
- Certificato “foglia”: Questo certificato di entità finale autentica una singola entità, come un utente, un dispositivo o un server. Eredita la fiducia dai certificati di livello superiore della catena, verificati attraverso le firme digitali.
Le CA radice sono il fondamento della fiducia nella PKI, dove la fiducia nel certificato radice è ereditata dall'intera catena. Finché ogni certificato della catena è valido, è firmato correttamente e può essere ricondotto a una radice fidata, il certificato foglia è considerato affidabile. Se la chiave privata di un trust anchor viene compromessa, la radice deve essere immediatamente esclusa dal software di supporto. È necessario un nuovo root per consentire la riemissione di tutti i certificati intermedi e fogliari emessi da questo root.
Sebbene un certificato root possa teoricamente firmare un certificato leaf, questa pratica non è consentita nelle PKI pubbliche. Anche se nessun blocco tecnico impedisce a un certificato root di firmare un certificato leaf in una PKI privata, si ritiene che la prassi migliore sia quella di utilizzare certificati intermedi. In questo modo, se un certificato intermedio viene compromesso, l'impatto è limitato ai certificati emessi sotto di esso senza influenzare il certificato radice o altri certificati intermedi.
Come funziona una catena di certificati?
Prendiamo come esempio una catena di certificati SSL / TLS. Il proprietario di un sito web vuole proteggere il proprio server con un certificato SSL. Per prima cosa, il proprietario determina il tipo di certificato SSL/TLS necessario e ne ottiene uno da una CA pubblica. Dopo aver ricevuto il certificato, il proprietario lo installa sul server web. Quando un utente si collega al sito web, il browser esegue un processo di verifica della fiducia:
- Il browser controlla se la CA radice è presente nel suo archivio di fiducia preinstallato. Se trova il certificato radice, procede alla verifica del certificato intermedio. In caso contrario, non stabilisce la connessione.
- Il browser verifica la firma digitale del certificato intermedio utilizzando la chiave pubblica del certificato radice. Se la firma è valida, si fida del certificato.
- Una catena di certificati può contenere uno o più certificati intermedi, ciascuno dei quali riceve fiducia dalla CA che lo precede. Il client verifica ogni certificato lungo la catena, confermando che il nome dell'oggetto in un certificato corrisponde al nome dell'emittente in quello successivo.
- Il browser verifica quindi la firma digitale del certificato del server utilizzando la chiave pubblica del certificato intermedio. Se la firma è valida, stabilisce una connessione sicura per lo scambio di dati crittografati. Rifiuterà la connessione se non è in grado di verificare alcun certificato lungo il percorso.
Mantenere la fiducia con una catena di certificati
Non è necessario gestire i certificati intermedi e radice quando si ottiene un certificato “leaf” in una PKI pubblica. La catena di fiducia della CA pubblica è stata stabilita quando è stata creata e verificata per emettere il tipo di certificati leaf acquistati. Ecco come selezionare una CA affidabile:
- Cercare una CA che utilizzi certificati radice affidabili nella sua catena di fiducia.
- Acquistate da una CA che pubblichi rapporti di audit e sia conforme a standard di settore come WebTrust o ETSI.
- Valutate se una CA appone una firma incrociata sui propri certificati con altre CA note.
- Esaminate la storia e la stabilità di una CA e utilizzatene una con una lunga storia di servizi affidabili.
- Cercate una CA che offra l'intera gamma di tipi di certificati che prevedete di utilizzare, compresi i certificati SSL, S/MIME, code signing, document signing ed eIDAS.
- Inoltre, la gestione del ciclo di vita di tutti i certificati fogliari nella vostra infrastruttura è fondamentale per garantire la sicurezza continua e prevenire interruzioni, violazioni o interruzioni del servizio. Tuttavia, i processi manuali non sono più sufficienti per gestire il gran numero di certificati che le aziende di oggi devono gestire. Per garantire che nulla vada perso, è necessario avere una visione d'insieme dell'inventario e automatizzare il processo di gestione del ciclo di vita dei certificati.
Sectigo Certificate Manager (SCM) è una piattaforma CA-agnostica che consente di gestire tutti i certificati digitali privati e pubblici in un unico luogo. Scoprite di più e provate SCM oggi stesso per vedere come possiamo aiutarvi a semplificare la gestione dei certificati.