Hai sentito parlare del certificato SSL ma non ti è chiara la sua reale utilità? In questo articolo vedremo tutto quello che c’è da sapere sul certificato SSL: cos’è, come funziona e quali sono le differenze tra i diversi tipi di certificato.
Vedremo anche come ottenere un certificato e come verificare che sia valido.
Table of Contents
Cos’è un certificato SSL?
Un certificato SSL permette di creare una connessione crittografata e quindi sicura ed è la base essenziale per poter utilizzare il protocollo di connessione sicura HTTPS.
All’interno del certificato sono riportate diverse informazioni essenziali:
- il dominio per cui il certificato è stato emesso ed eventuali sottodomini associati;
- la persona o la società verso cui il certificato è stato emesso;
- l’autorità di certificazione, vale a dire l’ente che lo ha rilasciato e la firma digitale;
- il periodo di validità con data di emissione e di scadenza;
- la chiave pubblica.
Che differenza c’è tra SSL e TLS
Questi certificati digitali si chiamo SSL perché si basano sull’omonimo protocollo di crittografia. In realtà sarebbe più corretto chiamarli certificati TLS o TLS/SSL visto che il protocollo Transport Layer Security (TLS) ha rimpiazzato quello precedente Secure Sockets Layer (SSL).
Tuttavia, visto che ormai il temine certificato SSL è diffuso e conosciuto, viene usato questo termine anche se in realtà si va ad utilizzare un certificato che utilizza il protocollo TLS che è più sicuro rispetto a quello SSL.
A cosa serve il certificato SSL
I certificati SSL sono fondamentali per proteggere i siti web e in particolare per assicurare la trasmissione dei dati in maniera sicura.
È necessario avere un certificato SSL soprattutto sui siti in cui è richiesto l’inserimento di dati sensibili come credenziali di accesso, dati personali o dati di pagamento.
Alla base del protocollo TLS e dei certificati, c’è infatti un sistema che consente la comunicazione tra client (il browser) e server (la macchina su cui è ospitato il sito web) in maniera sicura. L’obiettivo è quello di prevenire la manomissione dei dati vale a dire ridurre il rischio che le informazioni possano essere falsificate o anche intercettate da terzi.
Nella pratica la presenza del certificato permette di capire se un sito web è autentico. Infatti, come dicevamo prima, una delle informazioni contenute nel certificato è il dominio del sito. Questo significa che un sito ingannevole non potrà avere un certificato corrispondente a un indirizzo diverso da quello in uso.
Quanti tipi di certificato ci sono?
I certificati SSL possono essere suddivisi in base al tipo di validazione o in base al numero di domini.
Bisogna quindi sapere che le differenze tra i tipi di certificati riguardano il metodo di verifica richiesta per ottenere il certificato. Non ci sono però differenze per la crittografia e quindi per il livello di sicurezza.
Per quanto riguarda il numero di domini, oltre ai certificati SSL per dominio singolo, ci sono anche certificati che valgono per domini multipli e per i sottodomini.
In particolare si parla di certificati SSL wildcard quando il certificato è valido sia per il dominio principale che per i sottodomini, per esempio dominio.com e tutti i sottodomini: blog.dominio.com, shop.dominio.com, ecc.
I certificati SSL multidominio sono chiamati anche MDC da multi-domain certificate o UCC (unified communications certificate). In genere vengono utilizzati per coprire diversi domini aggiungendo i domini aggiuntivi nel campo “Subject Alternative Name (SAN)”. Un esempio può essere utilizzare un solo certificato per proteggere “dominio.com” e “dominio.it”.
I certificati possono anche essere suddivisi in base al tipo di verifica necessaria per ottenerli, troviamo infatti certificati DV, OV ed EV. Andiamo a vedere quali sono le differenze.
Certificati DV
Certificati a convalida del dominio (domain validation o DV), si tratta del livello di validazione di base che prevede la verifica della proprietà del dominio per cui si sta richiedendo il certificato.
La verifica viene fatta solo a livello del dominio e non sono richieste informazioni sull’azienda richiedente.
Questa tipologia di certificati è la più facile e veloce da ottenere. I certificati gratuiti di Let’s Encrypt sono di questo tipo.
In genere i certificati DV sono adatti a blog e siti web in cui non avviene la raccolta di dati sensibili e non si effettuano pagamenti.
Certificati OV
Certificati a convalida dell’organizzazione (organization validation o OV), aggiungono una verifica ulteriore rispetto a quella del dominio.
In questo caso è necessario fornire anche documentazioni che attestino di aver registrato a tutti gli effetti l’azienda, per esempio può essere necessario comunicare il numero di iscrizione al registro imprese o quanto meno le informazioni essenziali sul tipo di società, nome e indirizzo. Si tratta di una verifica volta a capire se connessa al certificato ci sia una società in regola.
Questi certificati vengono in genere utilizzati da siti e-commerce o da siti che trattano informazioni sensibili.
Certificati EV
Certificati a convalida estesa (extended validation o EV) richiede verifiche aggiuntive che sono effettuate per identificare l’azienda che sta richiedendo il certificato. Questo tipo di certificato, infatti, non viene rilasciato a tutte le attività, per esempio non può essere richiesto da una partita IVA identificata come persona fisica. Di fatto questo tipo di certificazione viene richiesto perlopiù da banche, servizi finanziari, grandi e-commerce e imprese.
La procedura per ottenere il certificato può variare in base all’ente di certificazione ma richiede sempre svariati livelli di convalida. In genere devono essere comunicati il numero di iscrizione al registro imprese e viene fatta una verifica sull’esistenza operativa dell’azienda.
Queste verifiche molto rigorose sono fatte per evitare frodi, ti basta pensare che un’ente di certificazione, DigiCert, ha dichiarato di rifiutare ogni anno più di 3.700 certificati di convalida estesa.
Come funziona il certificato SSL
Ora che abbiamo capito il certificato SSL cos’è, entriamo nel dettaglio sul suo funzionamento.
I certificati SSL consentono di utilizzare la crittografia per inviare i dati in maniera sicura ed evitare così che possano essere letti da terzi durante la trasmissione.
Quando ci si collega a un sito web protetto dal certificato, il browser e il server si scambiano messaggi attraverso un processo che viene chiamato handshake TLS.
Ecco come funziona.
- Quando il browser si collega al server richiede delle informazioni.
- In risposta il server invia il certificato SSL.
- Il browser fa un controllo sul certificato per verificarne la validità e per assicurarsi che corrisponda al dominio del sito. Dopodiché invia al server un messaggio crittografato con la chiave pubblica (quella del certificato del server).
- Il server può decodificare il messaggio usando la sua chiave privata e ottenere così la chiave di sessione. A questo punto utilizza questa chiave di sessione temporanea per inviare un messaggio di conferma al browser.
- Da questo momento in avanti i dati vengono scambiati in maniera crittografata e sicura.
Come vedi quindi il processo prevede una prima fase che serve all’autenticazione. In questa fase si usa una crittografia asimmetrica che prevede l’utilizzo di una chiave per la crittografia e una per decrittografare i dati. La chiave per la crittografia è la chiave pubblica, mentre la chiave privata serve a decrittografare le informazioni.
Nel processo che abbiamo visto, quindi, il server invia il certificato al browser e con il certificato invia anche la chiave pubblica. Il browser può usare la chiave pubblica del certificato per crittografare le informazioni e inviarle al server.
Dopo che l’handshake è avvenuto, si utilizza la crittografia simmetrica perché viene usata una sola chiave (quella di sessione) per continuare a scambiare i dati in maniera sicura.
Come capire se un sito sta usando un certificato SSL?
Ci sono diversi sistemi per capire se il sito che stiamo visitando è protetto da un certificato SSL valido.
Per prima cosa si può guardare l’URL. Tutti i siti che hanno un certificato SSL valido saranno raggiungibile tramite protocollo HTTPS. La prima cosa da fare quindi è proprio controllare che l’indirizzo sia preceduto da “https” e non “http”.
Per avere altre informazioni sul certificato si può cliccare sull’icona a forma di lucchetto dalla barra degli indirizzi del browser.
Da qui si può capire se il certificato è valido e vedere tutte le informazioni di cui parlavamo prima: da chi è stato emesso, per quali domini è valido, per quale azienda è stato rilasciato e così via.
Si possono anche usare degli strumenti online come SSL Labs per identificare un certificato SSL non valido o scaduto e per eseguire dei test e verificare il certificato.
Se il certificato non è valido, vedrai un avviso di sito non sicuro nella barra degli indirizzi e spesso un messaggio a tutto schermo che ti impedirà di accedere al sito.
Come ottenere un certificato SSL
Per un blog o un sito web su cui non avvengono pagamenti, un certificato SSL con convalida del dominio spesso è sufficiente. In questo caso ti conviene scegliere un servizio di hosting che includa il certificato SSL e che preveda l’attivazione e il rinnovo automatico. Tieni presente che in alcuni casi i pacchetti hosting includono il certificato solo per il primo anno, questo ad esempio è il caso di Namecheap che offre un certificato PositiveSSL per il primo anno.
Se hai bisogno di un certificato DV con delle garanzie, un certificato OV o EV, puoi verificare se il tuo hosting ti permette di acquistarlo o rivolgerti a un servizio esterno.
Tutti i piani di SupportHost includono il certificato SSL gratuito di Let’s Encrypt. I certificati si attivano in automatico e non richiedono nessun intervento da parte tua per il rinnovo.
Se vuoi acquistare un certificato SSL a pagamento, abbiamo certificati DV come Positive SSL a partire da 18€ l’anno.
Se hai già un sito web, ottenere il certificato SSL è il primo passaggio per poter utilizzare il protocollo HTTPS. Se hai un sito WordPress puoi seguire la nostra guida su come passare da http ad https.
Quanto dura un certificato SSL?
La validità dipende dal certificato che stai utilizzando. Ad esempio i certificati emessi da Let’s Encrypt sono validi per 90 giorni.
Fino al 2020 i certificati avevano periodi di validità più lunga, fino ai due anni. Con le ultime disposizioni per garantire una maggiore sicurezza il limite massimo di validità dei certificati è di 13 mesi. Per evitare problemi e avere il sito non protetto, il rinnovo può e deve avvenire prima della scadenza in modo da avere sempre un certificato valido.
Conclusioni
Abbiamo visto cos’è un certificato SSL, per che cosa viene utilizzato e quali sono le differenze tra i diversi tipi di certificato per aiutarti a capire quale è meglio utilizzare in base al tipo di sito e alle esigenze.
Ci siamo soffermati sul funzionamento dei certificati SSL e capito esattamente come verificare se un sito dispone di un certificato valido. Per finire abbiamo parlato anche di come ottenere i diversi tipi di certificato e cosa sapere sulla durata e il rinnovo.
È tutto chiaro o hai altre domande? Facci sapere con un commento.
Lascia un commento