Certificati AWS vs Certificati di Autorità Pubbliche (CA)

Che cos'è un'autorità di certificazione?

Un'autorità di certificazione (CA) è un'organizzazione che emette certificati digitali che autenticano e crittografano dati, dispositivi e applicazioni utilizzando la PKI. Sono fondamentali per consentire un ampio utilizzo della crittografia a chiave pubblica. Agiscono come autorità di fiducia, memorizzando e pubblicando le chiavi pubbliche associate alle corrispondenti chiavi private. Queste autorità affidabili consentono ai mittenti di garantire che stanno utilizzando una chiave pubblica correttamente collegata alla chiave privata del destinatario. Senza di esse, qualcuno potrebbe impossessarsi delle informazioni trasmesse e utilizzare qualsiasi informazione sensibile trovata.

Le CA rilasciano certificati solo a domini specifici che hanno inviato una richiesta di firma del certificato (CSR). Una CSR viene inviata a un'autorità di registrazione e contiene la chiave pubblica, le informazioni di identificazione e una firma digitale o altra misura di autenticità. Le informazioni identificative sono spesso l'organizzazione, l'unità organizzativa, il nome del paese, lo stato, la località e il nome comune. Il nome comune è in genere il nome di dominio o l'indirizzo IP della posizione.

Quando un dominio visualizza un certificato emesso da un'autorità di certificazione affidabile riconosciuta da un browser moderno, come Google Chrome, Mozilla Firefox o Microsoft Edge, si presume che la connessione sia sicura.

Le autorità di certificazione pubbliche affidabili, come Sectigo, sono membri conformi del forum delle autorità di certificazione/browser, creato esclusivamente per il rilascio di certificati. Il CA/Browser Forum è un gruppo di autoregolamentazione per le CA, responsabile della creazione e dell'aggiornamento delle regole relative all'uso, al rilascio e alla scadenza dei certificati.

Le autorità di certificazione pubbliche rilasciano milioni di certificati ogni anno. Questi certificati vengono utilizzati per una varietà di funzioni, tra cui la protezione delle comunicazioni sicure tramite SSL/TLS, firme digitali, certificati di firma del codice e certificati e-mail S/MIME.

I certificati SSL/TLS consentono specificamente ai browser web moderni di stabilire connessioni crittografate con il protocollo SSL/TLS con i server web identificandosi correttamente. Questi certificati vengono utilizzati con un'infrastruttura a chiave pubblica (PKI). Le PKI forniscono metodi che consentono agli individui di stabilire l'identità reciproca se entrambi si fidano dell'autorità di certificazione utilizzata.

Autorità di certificazione pubbliche e private

Come accennato in precedenza, le autorità di certificazione pubblicamente riconosciute sono entità indipendenti che sono state designate come affidabili dai principali browser web e seguono gli standard e le linee guida per i certificati identificati dal CA/Browser Forum. Le CA pubblicamente riconosciute eseguono diversi passaggi prima di emettere il certificato, tra cui la convalida delle informazioni fornite nella CSR, principalmente le informazioni DNS. Le autorità di certificazione pubbliche dispongono di chiavi crittografiche specifiche che utilizzano per firmare i certificati che rilasciano. Questi file di chiavi specifici sono spesso riconosciuti come appartenenti a una CA affidabile. Ciò garantisce la sicurezza immediata delle comunicazioni, poiché è noto che sono affidabili. I certificati pubblici sono utilizzati più spesso per proteggere gli endpoint che richiedono la comunicazione con gli utenti e non sono comunemente utilizzati per ambienti interni/di prova.

Le autorità di certificazione private e pubbliche presentano molte somiglianze. Hanno infrastrutture simili e svolgono compiti simili. Tuttavia, mentre un'autorità di certificazione pubblica emette certificati per entità su Internet in generale, le autorità di certificazione private emettono certificati solo per reti private. Le autorità di certificazione private emettono e convalidano i file di certificato che vengono caricati su un'infrastruttura a chiave pubblica interna (PKI) anziché su una terza parte affidabile. Di solito sono limitate all'ambito dell'organizzazione a cui appartiene la rete, spesso grandi organizzazioni o entità.

Le autorità di certificazione pubbliche rilasciano certificati che vengono immediatamente riconosciuti e considerati affidabili dai browser e dalle applicazioni. Questo non è il caso dei certificati digitali rilasciati da autorità private. Questi ultimi richiedono invece che un amministratore configuri specificamente qualsiasi sistema con cui il certificato entra in contatto per riconoscerlo e convalidarlo.

Inoltre, le CA pubbliche sono tenute a seguire requisiti rigorosi, a rispettare gli standard di sicurezza imposti dai fornitori e a raggiungere determinati livelli di trasparenza. In caso contrario, rischiano di perdere il loro status di affidabilità e la possibilità che i loro certificati vengano convalidati istantaneamente. Queste restrizioni non sono imposte alle CA private. Gli amministratori possono invece creare le proprie regole per il rilascio dei certificati, comprese le informazioni necessarie in una CSR e rappresentate in un certificato.

AWS è una CA?

Amazon Web Services (AWS) è una CA privata e commerciale. Non essendo membro del CA/Browser Forum, attualmente non è considerata un'autorità di certificazione pubblica affidabile. I clienti AWS possono distribuire certificati AWS Certificate Manager (ACM) in vari servizi AWS, tra cui AWS Elastic Load Balancing, Amazon CloudFront, Amazon API Gateway, Amazon EC2 instance e altri servizi integrati gestiti dalla AWS Management Console. Utilizzando ACM, è possibile fornire e gestire certificati pubblici e privati di determinati tipi.

Quando si distribuiscono certificati da CA private e commerciali come ACM, è importante esaminare attentamente l'emittente, poiché sarà necessario apportare modifiche significative all'ambiente per accettare correttamente i certificati privati. Inoltre, un amministratore deve configurare esplicitamente le applicazioni in modo che considerino attendibili i nuovi certificati emessi. Un passo fondamentale è il caricamento dei file dei certificati su AWS Identity and Access Manager (IAM).

AWS fornisce certificati SSL?

AWS Certificate Manager (ACM) è in grado di fornire, archiviare e rinnovare certificati SSL/TLS pubblici e privati conformi allo standard X.509. Ciò può essere fatto con qualsiasi servizio Amazon integrato con ACM. ACM automatizza il rinnovo e l'aggiornamento dei certificati ACM in scadenza. Alcune cose da tenere a mente sui certificati server AWS:

• ACM non fornisce certificati di convalida estesa o certificati di convalida dell'organizzazione, ma solo certificati di convalida del dominio
  
• ACM fornisce solo certificati per i protocolli SSL/TLS
• ACM non può essere utilizzato per la crittografia delle e-mail
  

Un certificato ACM è un certificato digitale per un servizio AWS integrato che è stato emesso direttamente da AWS Certificate Manager (ACM). È possibile importare certificati di terze parti in ACM. Inoltre, è possibile creare un'infrastruttura a chiave pubblica all'interno di AWS, che consente di creare certificati privati interni. I clienti AWS possono utilizzare ACM per richiedere e distribuire certificati su diverse risorse AWS, tra cui API che utilizzano API Gateway, distribuzioni Amazon CloudFront ed Elastic Load Balancers.

I certificati CA pubblici funzionano su AWS?

I certificati di una CA pubblica, come Sectigo, possono essere distribuiti nei servizi AWS utilizzando ACM o la piattaforma di gestione dei certificati CA, come Sectigo Certificate Manager.

È importante notare che i certificati ACM emessi da Amazon sono solo convalidati dal dominio. D'altra parte, i certificati SSL/TLS emessi da CA pubblicamente affidabili sono offerti con tre livelli di convalida.

• Convalida del dominio (DV): la CA verifica se il richiedente ha i diritti sul nome di dominio specifico (in genere tramite verifica e-mail). Non vengono controllate ulteriori informazioni e i certificati DV possono essere emessi in pochi minuti.
• Convalida dell'organizzazione (OV): la CA non solo verifica che il richiedente abbia i diritti sul nome di dominio specifico, ma conduce anche ulteriori indagini di base sull'organizzazione del richiedente. Queste informazioni vengono visualizzate sul certificato per aumentare la fiducia degli utenti finali del sito.
  
• Convalida estesa (EV): la CA verifica la titolarità dell'azienda e i documenti accettabili relativi alla società, nonché i requisiti di titolarità che devono essere forniti dal richiedente. Oltre a garantire che il richiedente abbia i diritti sul dominio specifico, viene condotta un'indagine approfondita sulla società e queste informazioni vengono visualizzate sul certificato. Inoltre, nell'indirizzo web del browser viene visualizzato un lucchetto di sicurezza, in modo che l'utente abbia un'ulteriore garanzia che il sito web è sicuro da visitare.

Perché automatizzare la gestione dei certificati in AWS?

L'implementazione e la gestione manuale dei certificati in ambienti AWS, oltre che in qualsiasi altro ambiente non cloud, richiede molto tempo e può comportare rischi inutili. Sia che un'azienda implementi un singolo certificato SSL per un server web ospitato su AWS o gestisca milioni di certificati su tutti i dispositivi in rete e le identità degli utenti, il processo end-to-end di emissione, configurazione e implementazione dei certificati può richiedere ore.

La gestione manuale dei certificati espone inoltre le aziende al rischio significativo che i certificati scadano inaspettatamente e che si verifichino lacune nella proprietà, con conseguenti interruzioni improvvise, guasti critici dei sistemi aziendali, violazioni della sicurezza e attacchi.

I clienti e gli utenti interni si affidano alla disponibilità costante dei sistemi aziendali critici ospitati nel cloud. Tuttavia, negli ultimi anni, i certificati scaduti hanno causato numerose interruzioni di servizi e siti web di alto profilo. Il risultato è stato un calo di fatturato pari a miliardi di dollari, penali contrattuali, cause legali e costi incalcolabili legati al deterioramento della reputazione del marchio e alla perdita della fiducia dei clienti.

Come automatizzare la gestione dei certificati in AWS

Considerando le insidie e le ripercussioni finanziarie inerenti alla gestione manuale dei certificati PKI, il ritorno sull'investimento per la gestione automatizzata delle identità digitali è evidente per i CIO e i CSO. Le organizzazioni hanno bisogno di una soluzione automatizzata che garantisca la corretta configurazione e implementazione dei certificati senza intervento umano sia in AWS che nell'intero ecosistema IT. L'automazione aiuta a ridurre i rischi, ma aiuta anche i reparti IT a controllare i costi operativi e a semplificare il time-to-market di prodotti e servizi.

Recentemente, la PKI si è evoluta diventando ancora più versatile. Interoperabilità, elevata disponibilità e governance rimangono i vantaggi principali. Tuttavia, le soluzioni PKI odierne sono anche funzionalmente in grado di migliorare l'amministrazione e la gestione del ciclo di vita dei certificati attraverso:

• Automazione: completamento delle singole attività riducendo al minimo i processi manuali.
• Coordinamento: utilizzo dell'automazione per gestire un ampio portafoglio di attività.
• Scalabilità: gestione di centinaia, migliaia o persino milioni di certificati.
  
• Cripto-agilità: aggiornamento della forza crittografica e revoca e sostituzione rapida dei certificati a rischio con certificati quantistici sicuri in risposta a minacce nuove o in evoluzione.
• Visibilità: visualizzazione dello stato dei certificati in un unico pannello di controllo per tutti i casi d'uso.
  

Sebbene ACM fornisca un certo grado di automazione, data la disparità dei sistemi, delle applicazioni e dei dispositivi che utilizzano certificati digitali, i team IT si trovano spesso a gestire diversi servizi di automazione di più fornitori. Ciò comporta in genere una riduzione dell'efficienza. Al contrario, un'unica dashboard di gestione dei certificati che automatizza il rilevamento, la distribuzione e la gestione del ciclo di vita in tutti i casi d'uso e le piattaforme dei fornitori offre l'efficienza promessa dall'automazione. Inoltre, i team IT mantengono il controllo delle definizioni e delle regole di configurazione, in modo che le fasi di automazione vengano eseguite correttamente.

Sectigo fornisce soluzioni di automazione della gestione dei certificati che consentono alle aziende di essere agili, efficienti e di avere il pieno controllo di tutti i certificati nel loro ambiente. Sectigo supporta l'installazione, la revoca e il rinnovo automatizzati dei certificati SSL/TLS e non SSL tramite protocolli leader del settore, API e integrazioni di terze parti. Inoltre, Sectigo elimina il problema dei limiti di volume dei certificati che possono verificarsi con le alternative open source.

In sintesi, le soluzioni di automazione di Sectigo consentono al team di sicurezza di:

• Applicare politiche di sicurezza crittografica
• Proteggere le comunicazioni
  
• Prevenire la perdita di dati personali tramite accessi non autorizzati
• Rendere sistemi, applicazioni e dispositivi a prova di futuro in tutta l'azienda

Per ulteriori informazioni su come automatizzare l'emissione e la gestione dei certificati digitali in AWS e nell'intero ecosistema IT, consulta Sectigo Certificate Manager.

Scopri di più? Contattateci per prenotare una demo di Sectigo Certificate Manager!

Messaggi relativi:

Che cos'è un certificato X.509 e come funziona?

Come evitare interruzioni del servizio SSL e rinnovare i certificati