Tutti conosco l’importanza di una comunicazione crittografata su Internet per la sicurezza, ma spesso l’argomento non è del tutto chiaro. I web master sanno che i certificati SSL oggi non solo hanno un effetto positivo sul ranking di Google, ma vengono promossi anche dai browser. Tuttavia, non tutti i certificati SSL sono uguali. Ciò che devi sapere è che esistono diverse versioni che differiscono in caratteristiche e livelli di sicurezza.
Certificato SSL: fattore di sicurezza irrinunciabile
Il Secure Locket Layer (SSL) è un protocollo sviluppato per consentire la trasmissione sicura dei dati su Internet. I certificati SSL a pagamento sono ad esempio utilizzati nell’home banking o come soluzioni per i negozi online. Sia gratuitamente che a pagamento, la crittografia SSL offre connessioni crittografate tra server e client con certificati che seguono lo standard X.509 e consente di garantire l’integrità dei messaggi utilizzando la procedura della chiave pubblica.
SSL e browser
Tutti i browser come Internet Explorer, Netscape, Mozilla Firefox, Safari, ecc. supportano questo standard di crittografia. Il lucchetto verde nella riga dell’indirizzo è un importante indicatore di fiducia per i visitatori di tutte le pagine, che si tratti di negozi, blog o siti web aziendali. In particolare, HTTPS significa che la comunicazione tra il server web e il client è crittografata. La s sta qui per “secure”. Se una pagina è protetta con un certificato SSL, terze parti non possono accedere ai dati trasmessi durante il trasferimento.
SSL e velocità di connessione
Questo tipo di crittografia non rallenta la trasmissione, al contrario, la velocità della pagina può anche essere aumentata con il cosiddetto HTTP/2. Per fare un confronto: HTTP/1.1 utilizza diverse connessioni TCP per caricare gli elementi della pagina web come file JS, CSS e immagini. HTTP/2, invece, trasmette su una sola connessione diversi dati in parallelo. Le informazioni vengono compresse in codice binario. Inoltre, i pacchetti dati vengono ordinati e trasmessi in un ordine specifico: i dati necessari per la costruzione di una pagina vengono trasmessi per primi.
Come funziona la crittografia SSL?
È l’autorità di certificazione (CA) a essere responsabile dell’emissione e della firma dei certificati SSL. La CA assicura al visitatore del sito l’autenticità della pagina web. Inoltre, se si è scelto un certificato business viene confermata anche l’identità dell’azienda. Un certificato SSL viene archiviato sul server web dopo la verifica del sito. Che si tratti di un certificato SSL gratuito o a pagamento, la crittografia è sostanzialmente la stessa. Il server si autentica dapprima sul client come titolare del certificato, viene quindi impostata una crittografia asimmetrica e le chiavi vengono scambiate. Con queste chiavi, la codifica asimmetrica è possibile perché tutte le comunicazioni tra client e server sono crittografate. Anche se un hacker dovesse riuscire ad aprire le porte, la gioia dell’attaccante ha breve durata: le chiavi vengono rinnovate regolarmente durante la comunicazione.
Se hai un e-commerce non puoi ignorare la crittografia SSL!
La differenza tra SSL gratuiti e SSL a pagamento
Con un certificato SSL gratuito, si ha il livello di convalida SSL più semplice, ovvero il certificato DV (Domain Validation) con la quale viene verificata solo la proprietà del dominio. Il controllo avviene in modo automaticamente per i certificati SSL gratuiti, ovvero non c’è una persona a effettuare la verifica. Il certificato DV è molto più facile e veloce da implementare rispetto a un certificato a pagamento e non richiede lavoro extra. Questi certificati però lasciano spazio di manovra ai malintenzionati: molti hacker ora utilizzano le certificazioni SSL/TLS e rimandano gli utenti su false pagine di login phishing.
In cosa differiscono i certificati SSL a pagamento?
I certificati SSL a pagamento offrono certificati Extended Validation (EV) e Organization Validation (OV). Per gli operatori di siti web con possibilità di accesso da parte degli utenti sarebbe altamente consigliabile non guardare solo al risparmio, ma fare affidamento su certificati SSL a pagamento. Con i certificati OV ed EV, il controllo non viene eseguito automaticamente, ma manualmente. Il dipendente dell’autorità di certificazione esegue la verifica effettuando una chiamata o controllando il registro delle imprese. In questo modo determina se l’azienda dietro al sito web esiste realmente.
Organization Validation (OV)
Con questo tipo di certificato SSL, le informazioni dell’azienda vengono confermate e archiviate nel certificato. In questo modo al visitatore non solo sa di trovarsi su un sito web sicuro, ma ha la certezza che appartenga all’azienda. La CA ha verificato la proprietà del dominio e ulteriori informazioni come il nome legale o registrato dell’azienda, l’ubicazione e altre informazioni. Questa forma di certificato viene generalmente utilizzata per siti web accessibili al pubblico su cui vengono eseguite transazioni con dati meno sensibili, ad es. siti di informazione.
Extended Validation (EV)
Il certificato EV mostra la più forte conferma visibile dell’identità dietro un sito web. All’utente verrà indicato che il sito web può divulgare dati sensibili, poiché questi sono effettivamente trasmessi in modo sicuro e crittografato. Con questo certificato, oltre alla proprietà del dominio e alle informazioni aggiuntive che vengono verificate con il certificato OV, l’autorità competente richiede informazioni quali lo stato giuridico, l’esistenza fisica e operativa, l’autorizzazione a firmare contratti, ecc. Questo tipo di certificato viene in genere utilizzato per i siti web che richiedono la registrazione, elaborano informazioni private o altri dati sensibili o accettano pagamenti, ad esempio negozi online o siti bancari.
Certificati SSL gratuiti o a pagamento?
Non è sempre facile trovare il certificato SSL giusto per un progetto. In generale, va notato che l’uso di un certificato SSL porta solo vantaggi per un sito web e un business. Gli operatori di siti web aziendali e quelli su cui vengono elaborati dati sensibili devono assolutamente occuparsi dei certificati OV ed EV.
La procedura guidata SSL di InterNetX verifica vari fattori e può aiutarti a trovare il certificato giusto.
