Come proteggere i siti web e tutti i dati che vengono trasmessi elettronicamente

Il problema della sicurezza si pone ogni qualvolta in cui le informazioni viaggiano in rete, specialmente tutte quelle informazioni riguardanti il commercio elettronico e i dati sensibili. Internet è una realtà totalmente anonima ed occorre quindi un modo per evitare che qualcuno si interponga in modo fraudolento tra il client e il server.

Per far sì che ciò avvenga ci occorre un certificato SSL, ovvero un piccolo file dati il quale, utilizzando un sistema di chiavi e crittografie, stabilisce una comunicazione sicura tra due macchine tramite protocollo SSL.

Di offerte, il web ne è pieno. Ma come scegliere il certificato più adatto alle nostre esigenze?

Innanzitutto cerchiamo di capire il loro funzionamento.

Protocollo SSL: cos’è?

Il Secure Sockets Layer (SSL) è il protocollo di sicurezza maggiormente impiegato al giorno d’oggi – anche se sta venendo sostituito dal TLS che vedremo più avanti- su scala mondiale. Questo protocollo, sostanzialmente, fornisce un canale sicuro tra due macchine che comunicano tra loro su Internet.

Tecnicamente, il protocollo SSL può essere utilizzato senza alcuna modifica preventiva in qualsiasi applicativo client-server che utilizzi TCP/IPnon coinvolge i dati scambiati e, nel momento in cui viene stabilita una sessione sicura, l’utente se ne accorge grazie alla presenza di un lucchetto presente nel web browser, ad esempio.

La comunicazione sicura tra client e server avviene attraverso un sistema di chiavi e crittografie legittimate da una terza parte chiamata in questione: la Certification Authority (CA). Tali società sono riconosciute a livello globale come le uniche autorizzate a rilasciare, dopo le dovute verifiche, le chiavi pubbliche sotto forma di certificati digitali firmati ed autenticati dalle stesse, ovvero i certificati SSL.

Protocollo TLS: cos’è?

Il TLS ha ormai preso il posto del protocollo SSL, visti i numerosi BUG da cui è affetto.

Il protocollo TLS consente alle applicazioni client/server di comunicare attraverso una rete in modo tale da prevenire il ‘tampering’ (manomissione) dei dati, la falsificazione e l’intercettazione. È un protocollo standard IETF che, nella sua ultima versione, è definito nella RFC 5246, sviluppata sulla base del precedente protocollo SSL da Netscape Communications.

La chiave di criptazione

Torniamo ai certificati SSL. Come abbiamo visto poco fa, il loro utilizzo ci consente di rendere le nostre informazioni visibili solo al destinatario reale della comunicazione e a garantire che l’interlocutore sia effettivamente chi dice di essere.

Ogni certificato contiene una chiave di criptazione, emessa dalla Certification Authority e legata alle informazioni del soggetto che ne ha fatto richiesta. Nello specifico, vi è:

  • Il nome del dominio, del server o dell’host che vogliamo certificare
  • L’identità del possessore, quindi il nome della società, l’indirizzo, ecc.
  • La data di scadenza della chiave di criptazione
  • Il nome e la firma digitale della CA che ha emesso tale certificato

I certificati SSL sono un elemento essenziale per garantire sicurezza al business. Consentono di proteggere i siti web e tutti i dati che vengono trasmessi elettronicamente senza necessariamente comportare costi enormi.

Il loro utilizzo è tipico in tutti quei contesti in cui si desidera garantire una connessione sicura, privacy e integrità agli utenti:

  • Transazioni online sicure con carta di credito
  • Scambi di informazioni sensibili e sistemi di log in
  • Comunicazioni tra: mailserver, webmail / email client desktop
  • Applicazioni per la virtualizzazione o piattaforme Cloud Computing
  • Trasferimento file tramite HTTPS e FTPS
  • Pannelli di controllo hosting (es. cPanel, Parallels, ecc)
  • Traffico all’interno di reti private: file sharing, connessioni ai database, ecc.
  • Accessi alla rete tramite VPN
  • Molto altro…

Come anticipato in apertura, è sufficiente digitare su Google “certificato SSL” per ritrovarsi sommersi da mille e più disparate offerte.

Attenzione però, non tutte le Certification Authority godono dello stesso prestigio!

Ad esempio, in Marzo 2017, Google ha annunciato l’intenzione di invalidare gradualmente i certificati SSL rilasciati da Symantec a causa dei continui problemi legati alla loro emissione.

Ciò significa che ogni CA è tenuta a rispettare con precisione una serie di severe linee guida di convalida, altrimenti la sicurezza non sarebbe più il punto focale del protocollo SSL/TLS.

Tipologie

I certificati SSL sono naturalmente soggetti a scadenza e, in fase d’acquisto, è possibile scegliere se sottoscriverli per 1 o per più anni.

I certificati si distinguono in base al tipo di copertura che vogliamo garantire al nostro dominio.

Domain Validation (DV): la Certification Authority fornisce un certificato basandosi sul nome e sul dominio di cui se ne fa richiesta. Verrà effettuata una verifica tramite l’invio di una mail al contatto amministrativo del dominio.

  • Criptazione a 2048 bit
  • Alti livelli di sicurezza e costi contenuti
  • Verifica ed emissione rapide
  • Attivazione del lucchetto e dell’https nel browser

Organization Validation (OV): tale certificato accresce la credibilità del sito, fornendo istantaneamente conferma sull’identità e alta protezione SSL contro le intromissioni fraudolente. Per la sua generazione, la CA effettua delle verifiche approfondite sulle credenziali del richiedente.

  • Criptazione a 2048 bit
  • Alti livelli di sicurezza e costi contenuti
  • Verifica delle credenziali in pochi giorni lavorativi
  • Attivazione del lucchetto e dell’https nel browser

Extended Validation (EV): è il certificato SSL di classe più evoluta e serve per attestare la sicurezza dei siti ad alto profilo. Durante il processo di verifica, il richiedente deve dimostrare alla CA di avere i diritti esclusivi di utilizzo del dominio, confermare la sua legalità, comprovare la sua esistenza fisica ed operativa e, infine, di essere stato egli stesso a richiedere l’emissione di tale certificato.

  • Criptazione a 2048 bit
  • Massimo livello di sicurezza SSL disponibile sul mercato
  • Verifica delle credenziali ed emissione in pochi giorni lavorativi

Attivazione del lucchetto, dell’https, del nome della società e della barra verde nel browser

Una volta scelta la copertura che vogliamo assicurarci, possiamo decidere anche cosa vogliamo esattamente certificare. Potrebbe ad esempio interessarci di certificare solo un dominio, oppure certificare il dominio e tutti i suoi sotto domini o, ancora, un gruppo di più domini.

esempio

Certificato SSL Single Domain: valido solo per il dominio di cui si fa richiesta.

Certificato SSL Multi Domain: valido per più di un dominio e disponibile in pacchetti.

Certificato SSL Wildcard: valido per il dominio e tutti i sottodomini da esso dipendenti.

ediamo alcuni esempi:

  • SSL Single Domain: valido solo per www.esempio.it e per esempio.it
  • SSL Multi Domain – 4 domini: valido per www.esempio1.it, www.esempio2.it, www.esempio3.it www.esempio4.it e allo stesso tempo, come per il Single Domain, valido anche per i domini senza il www davanti.
  • SSL Wildcard: valido per www.esempio.it, mail.esempio.it, ftp.esempio.it, ecc

Come richiedere ed acquistare un certificato SSL

Quando richiediamo un certificato SSL, in base alla sua tipologia occorre fornire una serie di informazioni all’ente certificatore o al provider che ne fa da tramite. Per i certificati di tipo Domain Validation è sufficiente indicare una mail del contatto amministrativo del dominio (servirà per una verifica sull’identità via click) e il CSR.

Il CSR (Certificate Signing Request) è un file di testo criptato in cui vi sono contenute tutte le informazioni del richiedente e che le Autorità di Certificazione (CA) utilizzano per creare il vostro certificato. Sul web possiamo trovare molte guide su come generarlo.

Una volta ricevuto via email il certificato SSL acquistato, sarà sufficiente importarlo nel server di destinazione.

  • Siti Web statici, dinamici e CMS come WordPress e Joomla
  • E-commerce come Magento e Prestashop
  • Mail Server come Kerio Connect, SmarterMail, MS Exchange, Mdaemon, Icewarp
  • Web Server IIS, Apache, Nginx
  • Siti governativi ed istituzioni
  • Banche elettroniche
  • E molto altro..