Certificati SSL

Aggiornato il 22 maggio 2020 – Secondo una definizione più pratica che teorica, i certificati SSL sono dei file che contengono delle informazioni utili per garantire l’integrità dei dati, una comunicazione sicura e l’identità degli interlocutori di una connessione Internet.

SSL è l’acronimo di Secure Sockets Layer e indica il protocolli di sicurezza, nel corso degli anni le varie versioni del protocollo Secure Sockets Layer si sono dimostrate poco sicure per cui oggi, viene usato TLS (Transport Layer Security) che ne eredita le caratteristiche principali.

Quando ci si connette ad un sito di commercio elettronico tipicamente i nostri dati vengono cifrati al fine di evitare che qualcuno possa leggere ad esempio il numero della nostra carta di credito che consente, per chi non lo sapesse ancora, di prelevare il denaro senza possedere fisicamente il pezzo di plastica della carta di credito.

Per creare una connessione cifrata mediante SSL/TLS, basta collegarsi ad una sezione del sito che usi il protocollo https anziché http.

La prima volta che si visita una pagina usando https il server del sito web mette a disposizione degli utenti un suo certificato SSL che è stato acquistato presso delle aziende famose come Sectigo, GeoTrust, GlobalSign (chiamate certification authority) oppure può produrne uno gratuito usando CAcert oppure Letsencrypt.
L’utente quando visita il sito che possiede un certificato SSL viene avvisato dal browser che mostra un finestra dove sono riportate le informazioni relative al certificato, l’utente può scegliere di accettare il certificato importandolo oppure rifiutarlo. La stessa cosa avviene quando si scarica o si invia la posta usando un protocollo sicuro col proprio client di posta elettronica (ThunderBird, Outlook Express,…).

Se il certificato viene accettato si instaura una connessione cifrata mediante il protocollo SSL/TLS.

Organizzazioni più grosse come Microsoft, Visa, AOL, Deutsch Bank, Swisscom adottano dei certificati più costosi che sono già inglobati all’interno dei browser più famosi come FireFox, Mozilla, Internet Explorer, Chrome, Opera e Safari mentre altri comprano dei certificati rilasciati da certification authority che hanno il loro certificato nella elenco di quelli inclusi nei browser o nei client di posta elettronica così la procedura di accettazione e importazione del certificato non è necessaria.

Questo va a vantaggio sicuramente quando a richiedere una connessione cifrata SSL è un utente che non ha dimestichezza con Internet e poterbbe non essere in grado di scegliere se importare il certificato inviato dal server o meno.

Ottenere un certificato a pagamento non è un’operazione rapida sopratutto per quelli più costosi che richiedono procedure di autenticazione via telefono e invio di una lettera via posta tradizionale. Cosa che ovviamente dura più di un giorno.
Quelli più economici invece si possono attivare in pochi minuti e viene fatta solo una verifica elettronica.

Tutti i certificati SSL purtroppo scadono. Quando scadono o quando si è in prossimità della scadenza è necessario rinnovarli altrimenti l’utente vedrà una finestra del browser che lo allerta che il certificato è scaduto e che è pericoloso accettare le richieste del server. Questo è veramente fastidioso con Internet Explorer che impedisce di continuare la connessione.

Se non bastasse i certificati a pagamento in genere offrono una protezione solo per un dominio esempio www.valent-blog.eu mentre se voglio usare il certificato anche per forum.valent-blog.eu e mail.valent-blog.eu devo acquistare tre certificati oppure un certificato (più costoso) che sia di tipo wildcard ossia *.valent-blog.eu

Per farci un’idea sui prezzi dei certificati: quello standard SSL costa una trentina di dollari per dominio all’anno, mentre quello wildcard (con sottodomini illimitati) viene circa 200 dollari annui.
Quello più costoso costa circa 100 dollari per un singolo dominio.

Quindi visto l’esiguo costo dei certificati è bene che ogni sito di commercio elettronico o che tratti dati personali dei clienti adotti almeno un certificato economico per tutelare i clienti e mostrare così un minimo di professionalità.

Tuttavia è possibile utilizzare almeno per siti personali o per i propri server (o vps) un certificato gratuito CAcert.
Il problema sta nel fatto che gli utenti dovranno accettare il certificato che verrà mostrato dal browser o dal client di posta elettronica in quanto CAcert non è già incluso come quelli a pagamento.

In un prossimo articolo vederemo come creare un certificato usando OpenSSL sul proprio server.

Potrebbero interessarti anche...

2 risposte

  1. Sicurezza Digitale ha detto:

    Ciao,
    per quanto riguarda la riconoscibilità dei certificati SSL autogenerati (es. CAcert) la stessa non è in questo caso prevista in quanto si tratta di certificati privi di una root certificate emessa da un’Autorità di Certificazione collegata ai browser di navigazione. I certificati SSL emessi da CA riconosciute valgono di più sia perchè il processo di emissione è garantito da Autorità ben note ai browser (Chrome, Explorer, Firefox, Safari, ecc.) sia perché infondono un maggior senso di fiducia nei visitatori e/o clienti del sito web che li presenta.
    Per quanto riguarda il prezzo vi sono certificati SSL a rapida emissione (in pochi minuti) disponibili a meno di 20 euro l’anno (si veda il sito di Trustico, il più conveniente che ho trovato e che ha certificati emessi da GeoTrust, RapidSSL, Symantec, VeriSign, ecc.).
    Un saluto

  2. valent ha detto:

    I più economici sono probabilmente quelli di Comodo che costano 10-20 euro. Però c’è anche il GeoTrust SSL Certificate (RapidSSL) venduto da Namecheap che viene meno di 11 dollari all’anno.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *