Redirecting you to
Click if you are not redirected within 5 seconds
Cerca
USD
Italiano
Contattaci
Prova Gratuita
Post del blog lug 30, 2020

Che cos'è un certificato SSL e come funziona?

Un certificato SSL garantisce comunicazioni sicure e autenticazione tra un browser e un server. Scopri come funzionano i certificati SSL/TLS, le loro tipologie, vantaggi come maggiore fiducia dei clienti e SEO migliori, e come installarli per proteggere i dati sensibili.

Indice

1. Che cos'è un certificato SSL?
2. Come funzionano i certificati SSL?
3. Quali sono i diversi tipi di certificati SSL?
4. Come installare un certificato SSL

Che cos'è un certificato SSL?

SSL (Secure Sockets Layer) è il nome comune di TLS (Transport Layer Security), un protocollo di sicurezza che consente comunicazioni criptate tra due macchine. Un certificato SSL è un piccolo file di dati che sfrutta questo protocollo di sicurezza per svolgere due funzioni:

  1. Autenticazione - I certificati SSL servono come credenziali per autenticare l'identità di un sito web. Vengono rilasciati a un nome di dominio e a un server Web specifici dopo che un'autorità di certificazione, nota anche come Certification Authority (CA), ha eseguito un rigoroso processo di verifica sull'organizzazione che richiede il certificato. A seconda del tipo di certificato, può fornire informazioni sull'identità di un'azienda o di un sito web e autenticare che il sito è legittimo.
  2. Comunicazione sicura dei dati - Quando l'SSL è installato su un server web, consente di visualizzare il lucchetto nel browser web. Attiva il protocollo HTTPS e crea una connessione sicura tra il server e il browser. Consente l'uso di algoritmi di crittografia per scramble i dati in transito in un formato indecifrabile che può essere letto solo con la chiave di decifrazione appropriata.

I browser web mostrano solo gli indicatori di sicurezza per SSL firmati da una CA affidabile, come Sectigo. Per diventare una CA affidabile, un'azienda deve rispettare ed eseguire verifiche periodiche degli standard di sicurezza e dei processi di autenticazione stabiliti dai principali browser e dall'organismo di standardizzazione del settore chiamato CA/Browser Forum. Quando una CA affidabile rilascia un certificato a un'organizzazione, il browser riconosce il certificato come legittimo. Il browser comunica all'utente che l'indirizzo web è sicuro e l'utente può navigare in sicurezza sul sito e inserire informazioni personali.

Come funzionano i certificati SSL?

Tutti i certificati digitali sono esempi di scambio di chiavi pubbliche, o PKI. Nella sua forma più elementare, la PKI dipende da una coppia di chiavi interdipendenti, una chiave pubblica e una privata. La chiave pubblica viene utilizzata per criptare le informazioni e la chiave privata per decifrarle. L'SSL funziona rendendo disponibile la chiave pubblica attraverso un sito web accessibile al pubblico. La chiave privata, invece, rimane protetta sul server Web, in modo che qualsiasi dato inviato dal sito Web in cui si trova la chiave pubblica possa essere decifrato solo dal proprietario del sito, creando così una comunicazione sicura 1:1.

Quando una persona visita un sito con un certificato SSL, si verifica un “handshake” per creare un canale sicuro tra l'utente e l'organizzazione e proteggere i dati inviati sul sito web dalla compromissione. Ecco come funziona il processo di handshake in tempo reale:

  1. Un sistema client, come un comune browser web, si collega a un server protetto da un certificato SSL/TLS.
  2. Il browser invia una richiesta al server per identificarsi.
  3. Il server invia una copia del suo certificato SSL, con il tipo, il periodo di validità e i dettagli organizzativi.
  4. Il browser verifica se si fida del certificato e invia un'approvazione al server. Se il certificato non è installato, non è aggiornato con i protocolli di sicurezza adeguati o non è stato emesso da una CA di cui il browser si fida, l'utente vedrà un messaggio di avviso nella barra degli indirizzi del browser.
  5. Il server invia una conferma firmata digitalmente per avviare una sessione crittografata SSL.
  6. Tutti i dati condivisi tra il browser e il server sono ora sicuri. Se un hacker intercetta la comunicazione, questa rimane criptata con un codice crittografico che non può essere decifrato.

Qual è la differenza tra SSL e TLS?

TLS è una versione aggiornata di SSL che offre opzioni di crittografia avanzate, tuttavia i due acronimi sono spesso indicati come aventi lo stesso significato.

Secure Sockets Layer (SSL) è il nome del primo protocollo crittografico creato per garantire l'identità di un server connesso su Internet. Questo protocollo è stato creato nel 1995 per consentire il commercio elettronico sul web. SSL 2.0 è stata la prima versione del protocollo ad essere utilizzata nei sistemi di produzione, ed è stata presto sostituita da SSL 3.0. Dopo la versione 3.0, gli organismi di standardizzazione hanno sostituito SSL con un protocollo più avanzato chiamato Transport Layer Security (TLS). Tuttavia, a quel punto il termine SSL era entrato nel linguaggio comune e continua a essere il nome de facto di TLS.

Sebbene i certificati non eseguano di per sé la crittografia, i software client e server basati su standard richiedono la presenza di uno di essi affinché la crittografia abbia luogo. Questo requisito è dovuto al fatto che senza un'identità affidabile per la parte dall'altra parte di una connessione, la crittografia stessa non offre alcuna protezione. Le opzioni attuali per la crittografia di una sessione TLS includono RSA (Rivest-Shamir-Adleman), ECC (Elliptic Curve Cryptography) e DSA (Digital Signature Algorithm).

Quali sono i diversi tipi di certificati SSL?

Esistono diversi tipi di certificati TLS, tra cui:

  • Domain Validation (DV) - il modo più semplice ed economico per ricevere la crittografia standard del settore.
  • Organization Validation (OV) - un passo avanti rispetto al DV, in cui un'organizzazione deve essere un'azienda legalmente registrata e dimostrare di essere proprietaria del dominio.
  • Extended Validation (EV) - standard di settore per i siti web aziendali, che fornisce il massimo livello di fiducia.

Altre varianti di certificati sono i certificati SSL Wildcard (per un dominio principale e i suoi sottodomini), Single Domain (per un dominio principale e un singolo sottodominio) e Multi-Domain (usati per proteggere più domini).

Come si usano?

I certificati SSL sono una parte essenziale delle misure di sicurezza informatica di qualsiasi sito web. Milioni di siti web utilizzano l'SSL per proteggere la navigazione sui loro siti. L'abilitazione dell'HTTPS su tutti i siti web non solo garantisce ai consumatori la fiducia nella legittimità del sito e la sicurezza della navigazione o delle transazioni, ma è stata anche richiesta dai principali browser, come Google Chrome. I siti privi di certificato visualizzano un avviso “Non sicuro” nella barra degli indirizzi.

La crescita dei siti web globali, dei dispositivi mobili e di quelli connessi a Internet ha esteso l'utilizzo anche al di là del semplice commercio elettronico. Chiunque abbia bisogno di condividere dati tra dispositivi su Internet in modo sicuro ha bisogno di un certificato SSL. Il più comunemente usato è quello di proteggere

  • transazioni con carta di credito online
  • Moduli web e login dei clienti
  • Applicazioni di posta elettronica e webmail
  • Comunicazioni aziendali tramite intranet, condivisione di file, extranet e server interni.
  • Piattaforme basate su cloud e applicazioni virtualizzate
  • Trasferimenti di file tramite FTP
  • Trasferimento di dati da e verso dispositivi mobili

Se l'URL di un sito web inizia con HTTPS:// e nella barra degli indirizzi è presente l'icona di un lucchetto, significa che il sito web utilizza una connessione sicura TLS/SSL.

Quali sono i vantaggi?

L'importanza principale dell'installazione di un certificato SSL è quella di avviare una sessione sicura tra un server web e un browser. Una volta stabilita una connessione sicura, tutte le informazioni trasmesse tra il server web e il visitatore vengono mantenute private e crittografate.

Altri vantaggi dell'SSL:

  • Aumenta la fiducia dei clienti. Il lucchetto assicura ai clienti che le loro informazioni non saranno compromesse. I dati saranno inviati ai server di destinazione previsti e non saranno reindirizzati a terze parti non autorizzate.
  • Protegge le informazioni sensibili dagli attacchi di phishing. I siti di phishing sono copie fraudolente di siti web famosi il cui scopo è quello di indurre l'utente a inviare informazioni preziose come la carta di credito o il numero di previdenza sociale. I certificati a convalida estesa vi proteggono dagli attacchi di phishing mostrando il nome completo del proprietario del sito web nella barra degli indirizzi. I gestori di siti di phishing non possono ottenere un certificato EV a causa dei requisiti di convalida estesi.
  • Migliore posizionamento nei motori di ricerca. L'HTTPS è considerato un segnale di ranking da uno dei più grandi motori di ricerca al mondo, Google.

Come installare un certificato SSL

Ci sono 3 semplici passaggi per installare un certificato SSL su un sito web:

  1. Acquistare un certificato emesso da una CA affidabile - I certificati affidabili possono essere acquistati dal vostro web-host o direttamente da una CA affidabile. I certificati emessi da una CA affidabile saranno riconosciuti da tutti i più diffusi browser Internet utilizzati dai visitatori (Chrome, Firefox, Internet Explorer, Safari, ecc.).
  2. Attivare e installare il certificato - Se il certificato è stato acquistato dal vostro web-host, questo passaggio può essere fatto da loro. Se invece siete voi stessi a gestire il sito, le due fasi da completare sono la generazione di una richiesta di firma del certificato (CSR) e l'installazione del certificato. Nella nostra knowledge base troverete una serie di documenti che vi aiuteranno a completare entrambe le operazioni su diversi software di server web.
  3. Convertire l'intero sito in HTTPS - Dopo aver installato il certificato sulle pagine di destinazione, modificare il sito in modo che tutti i contenuti siano serviti in modo sicuro.

Passi successivi

Se avete bisogno di ulteriori informazioni sul funzionamento dei certificati SSL o sulla scelta di quello giusto per il vostro sito web, contattate Sectigo.

Scopri di più? Contattateci per prenotare una demo di Sectigo Certificate Manager!

Messaggi relativi:

L'evoluzione del ciclo di vita dei certificati SSL/TLS e come gestire i cambiamenti

7 motivi per ridurre i periodi di validità dei certificati SSL

FAQ sui certificati SSL: La vostra guida completa dalle basi ai principi avanzati