Web Hosting Tutorial

Manuali, guide e tutorial ed utilità del mondo Hosting linux by Hosting-ocusfocus.com

Pillole

Che cos’è un certificato SSL, definizione e spiegazione

DiHosting-ocusfocus.com

Ott 15, 2022 , , , , ,

Un certificato SSL è un certificato digitale che autentica l’identità di un sito web e consente di instaurare una connessione crittografata. SSL è acronimo di Secure Sockets Layer, un protocollo di sicurezza che crea un link crittografato fra un server web e un browser web.

SSL protegge le connessioni a Internet e impedisce ai criminali di leggere o modificare le informazioni scambiate fra due sistemi. Se accanto all’URL nella barra degli indirizzi è visualizzata l’icona di un lucchetto, significa che il sito web visitato è protetto da SSL.

Dalla sua introduzione, circa 25 anni fa, sono state rilasciate varie versioni del protocollo SSL, ma prima o poi hanno tutte creato problemi di sicurezza. In seguito è stata introdotta una versione riprogettata, denominata TLS Transport Layer Security, che viene utilizzata ancora oggi. Tuttavia il vecchio acronimo, SSL, è ancora in uso e viene utilizzato anche per fare riferimento alla nuova versione del protocollo.

Come funziona il certificato SSL

SSL assicura che tutti i dati scambiati fra gli utenti e i siti web, rimangano impossibili da leggere da terzi. Utilizza algoritmi di crittografia allo scopo di rendere irriconoscibili i dati in transito, per impedire agli hacker di leggerli mentre vengono trasmessi sulla connessione. Tali dati possono includere informazioni sensibili, come nomi, indirizzi, numeri di carta di credito o altri dati finanziari, seguendo un preciso processo:

  • Un browser o un server tenta di connettersi a un sito web protetto con SSL.
  • Il browser o il server chiede al server web di identificarsi.
  • Il server web risponde inviando al browser o al server una copia del suo certificato SSL.
  • Il browser o il server verifica se il certificato SSL è affidabile. Se lo è, lo comunica al server web.
  • Il server web restituisce quindi una conferma firmata digitalmente, per avviare una sessione SSL crittografata.
  • I dati crittografati vengono condivisi fra il browser o il server e il server web.

Quando un sito web è protetto da un certificato SSL, il suo URL è preceduto dal prefisso HTTPS HyperText Transfer Protocol Secure. Se non è disponibile un certificato SSL, viene utilizzato il prefisso HTTP. Accanto all’URL, nella barra degli indirizzi viene visualizzata anche l’icona di un lucchetto, per indicare che il sito è affidabile e rassicurare i visitatori.

Per visualizzare i dettagli di un certificato SSL, è possibile cliccare sull’icona del lucchetto nella barra degli indirizzi del browser, i cui dettagli includono :

  • Il nome del dominio a cui è stato rilasciato il certificato
  • La persona, l’organizzazione o il dispositivo a cui è stato rilasciato
  • L’Autorità di certificazione emittente
  • La firma digitale dell’Autorità di certificazione
  • I sottodomini associati
  • La data di emissione del certificato
  • La data di scadenza del certificato
  • La chiave pubblica (ovviamentela chiave privata non è riportata)

Il certificato SSL è necessario ?

I siti web utilizzano i certificati SSL per proteggere i dati degli utenti, verificare la proprietà del sito web, impedire agli autori degli attacchi di creare una versione fittizia del sito e conquistare la fiducia degli utenti.

Se un sito web chiede agli utenti di effettuare l’accesso, immettere dati personali, come un numero di carta di credito, o visualizzare informazioni riservate, è essenziale garantire la riservatezza di tali dati. I certificati SSL proteggono la riservatezza delle interazioni online e garantiscono agli utenti che un determinato sito web è autentico, ed è possibile condividere informazioni private in tutta sicurezza.

Un certificato SSL consente di proteggere informazioni quali:

  • Credenziali di accesso (account e password)
  • Transazioni con carta di credito o informazioni sui conti bancari
  • Informazioni personali, quali nome completo, indirizzo, data di nascita o numero di telefono
  • Documenti legali e contratti
  • Cartelle mediche
  • Informazioni proprietarie

Tipi di certificati SSL

Esistono vari tipi di certificati SSL, con livelli di convalida diversi, e sono:

  • Certificati a convalida estesa (EV SSL)
  • Certificati con convalida dell’organizzazione (OV SSL)
  • Certificati con convalida del dominio (DV SSL)
  • Certificati SSL con caratteri jolly
  • Certificati SSL multidominio (MDC)
  • Certificati Unified Communications Certificate (UCC)
  • Certificati SSL gratuiti (forniti assieme al piano di hosting) come per esempio Let’s Encrypt

Certificati a convalida estesa (EV SSL)

Questo è il tipo di certificato SSL con il livello di protezione massimo, ed è anche il più costoso. Viene solitamente utilizzato per i siti web di alto profilo, che raccolgono dati e utilizzano pagamenti online. Quando viene installato, questo tipo di certificato SSL visualizza l’icona di un lucchetto, il prefisso HTTPS, il nome dell’azienda e il paese sulla barra degli indirizzi del browser. Visualizzando il proprietario del sito web sulla barra degli indirizzi, aiuta a distinguere il sito legittimo dai siti nocivi. Per configurare un certificato EV SSL, il proprietario del sito web deve seguire una procedura standard di verifica dell’identità al fine di dimostrare di aver ottenuto legalmente diritti di esclusiva per il dominio.

Certificati con convalida dell’organizzazione (OV SSL)

Questa versione del certificato SSL garantisce un livello di sicurezza simile a quello del certificato EV SSL, perché per ottenerlo il proprietario del sito web deve completare una procedura di convalida rigorosa. Anche questo tipo di certificato visualizza le informazioni relative al proprietario del sito web nella barra degli indirizzi, per distinguerlo dai siti nocivi. I certificati OV SSL sono in genere i secondi più costosi (dopo i certificati EV SSL) e hanno soprattutto lo scopo di crittografare le informazioni sensibili dell’utente durante le transazioni. I siti web commerciali o rivolti al pubblico devono installare un certificato OV SSL per garantire la riservatezza delle informazioni sui clienti.

Certificati con convalida del dominio (DV SSL)

Il processo di convalida per ottenere un certificato SSL è minimo, di conseguenza i Certificati SSL con convalida del dominio forniscono livelli di sicurezza inferiori e una crittografia minima. In genere vengono utilizzati per blog o siti web informativi, che non prevedono alcuna raccolta di dati o pagamenti online. Questo tipo di certificato SSL è uno dei meno costosi e dei più rapidi da ottenere. Il processo di convalida richiede solo che il proprietario del sito web dimostri di possedere il dominio, rispondendo a un messaggio e-mail o a una chiamata telefonica. La barra degli indirizzi del browser mostra solo il prefisso HTTPS e l’icona del lucchetto, ma non visualizza il nome dell’azienda.

Certificati SSL con caratteri jolly

I certificati SSL con caratteri jolly consentono di proteggere un dominio di base e un numero illimitato di sottodomini con un singolo certificato. Se devi proteggere più sottodomini, l’acquisto di un certificato SSL con caratteri jolly è molto meno costoso che acquistare singolarmente i vari certificati SSL. Nel nome comune dei certificati SSL con caratteri jolly è presente un asterisco (*), che rappresenta tutti i sottodomini validi con lo stesso dominio di base.

Certificati SSL multi dominio (MDC)

Un certificato multidominio consente di proteggere numerosi nomi di dominio e/o sottodominio. Sono incluse le combinazioni di domini e sottodomini completamente univoci, con diversi domini di livello superiore (TLD, Top-Level Domain), ad eccezione di quelli locali o interni,

I certificati multidominio non supportano i sottodomini per impostazione predefinita. Per proteggere sia www.example.com che example.com con un singolo certificato multidominio, è necessario specificare entrambi i nomi host nella richiesta di certificato.

Certificati Unified Communications Certificate (UCC)

Anche i certificati Unified Communications Certificates (UCC) sono considerati certificati SSL multidominio. I certificati UCC sono stati inizialmente concepiti per proteggere i server Microsoft Exchange e Live Communications. Oggi qualunque proprietario di siti web può utilizzare questi certificati per proteggere più nomi di dominio con un singolo certificato. I certificati UCC vengono convalidati a livello di organizzazione e visualizzano l’icona di un lucchetto nel browser. I certificati UCC possono essere utilizzati come certificati EV SSL, per garantire la massima sicurezza ai visitatori del sito web tramite la barra degli indirizzi verde.

Certificati SSL GRATUITI

I certificati SSL gratuiti vengono rilasciati da enti certificatori accreditati (Certification Authority)

Let’s Encrypt (ad esempio) è una certification authority no-profit che fornisce certificati SSL gratuiti con un sistema automatizzato (integrato nella maggior parte dei gestionali hosting come per esempio, cPanel e Plesk) pensato per eliminare tutte le procedure di certificazione, validazione, installazione e rinnovo dei certificati SSL.

I certificati SSL gratuiti tutelano gli utenti del web crittografando le comunicazioni ma, non prevedendo alcun tipo di validazione e controlli sull’effettiva proprietà del dominio da parte del richiedente.

I certificati SSL gratuiti Criptano i dati garantendo la loro sicurezza?

Assolutamente SI, i dati sono criptati esattamente come qualsiasi altro SSL di qualsivoglia authority, salvaguardandone quindi la loro sicurezza.

Quali diversità ci sono tra un certificato SSL a pagamento e uno gratuito ?

  • I certificati SSL gratuiti non prevedendo alcun tipo di validazione e controlli sull’effettiva proprietà del dominio da parte del richiedente, vengono quindi rilasciati al proprietario del dominio che li richiedono senza fare nessun controllo di chi sia il proprietario e senza nessuna verifica con successiva validazione. Tuttavia la sicuerzza dei dati tra Server e browser è tutelata.
  • I certificati SSL a pagamento, prima di essere rilasciati vi sono una serie di controlli che l’authority effettua su chi ha richiesto il certificato, anche in relazione al tipo di certificato richiesto, inoltre per alcune tipologie di certificazione sono previsti dei rimborsi, dovessero essere dimostrati buchi e quindi sottrazioni di dati dal sistema di criptazione

Come ottenere un certificato SSL a pagamento

I certificati SSL possono essere ottenuti direttamente da un’Autorità di certificazione (CA). Le Autorità di certificazione rilasciano milioni di certificati SSL ogni anno. Svolgono un ruolo chiave per il funzionamento di Internet e per garantire la trasparenza e l’affidabilità delle interazioni online.

Un certificato SSL può essere gratuito o arrivare a costare alcune centinaia di dollari, a seconda del livello di sicurezza richiesto. Una volta determinato il tipo di certificato necessario, è possibile cercare le Autorità di certificazione che offrono il livello SSL richiesto.

Per ottenere un certificato SSL è necessario procedere come segue:

  • Prepararsi, configurando il proprio server e verificando che il record WHOIS sia aggiornato e corrispondente alla richiesta da presentare all’Autorità di certificazione (deve indicare il nome e l’indirizzo corretti dell’azienda e così via)
  • Generare una richiesta di firma del certificato (CSR, Certificate Signing Request) sul proprio server. Per questa operazione, puoi chiedere aiuto alla tua società di hosting.
  • Inviare la richiesta all’Autorità di certificazione, per convalidare i dati relativi al dominio e all’azienda.
  • Installare il certificato ottenuto al termine del processo.

Il certificato ottenuto deve essere configurato nel tuo host web o nei tuoi server, se ospiti direttamente il tuo sito web.

Il tempo necessario per ottenere il certificato dipende dal tipo di certificato richiesto e dal provider a cui ti rivolgi. Il tempo varia a seconda del livello di convalida. Un semplice certificato SSL con convalida del dominio può essere rilasciato pochi minuti dopo l’ordinazione, mentre un certificato con convalida estesa può richiedere un’intera settimana.

Cosa accade alla scadenza di un certificato SSL?

I certificati SSL scadono, non durano per sempre. Secondo il Certificate Authority Browser Forum, che costituisce l’organismo di regolamentazione di fatto per il settore SSL, i certificati SSL non possono avere una durata superiore ai 27 mesi, sostanzialmente due anni più tre mesi, se rinnovi il certificato SSL precedente per il tempo residuo.

Il certificati SSL scadono perché, come avviene per qualsiasi forma di autenticazione, le informazioni devono essere riconvalidate periodicamente per verificare che siano ancora accurate. Su Internet le cose cambiano, perché le aziende e i siti web vengono comprati e venduti, e con il passaggio di proprietà cambiano anche le informazioni rilevanti per i certificati SSL. Il periodo di scadenza ha lo scopo di assicurare che le informazioni utilizzate per autenticare i server e le organizzazioni siano il più possibile aggiornate e precise.

In precedenza i certificati SSL potevano avere una validità di cinque anni, che in seguito è stata ridotta a tre e, di recente, a due più un periodo potenziale di tre mesi extra. Nel 2020 Google, Apple e Mozilla hanno annunciato l’intenzione di imporre l’utilizzo di certificati SSL di un anno, nonostante il parere contrario di Certificate Authority Browser Forum. La decisione è entrata in vigore nel settembre 2020 ed è possibile che, in futuro, il periodo di validità venga ridotto ulteriormente.

Quando un certificato SSL scade, il sito in questione diventa irraggiungibile. Quando il browser di un utente raggiunge un sito web, verifica la validità del certificato SSL in alcuni millisecondi (nell’ambito dell’handshake SSL) e, se il certificato SSL è scaduto, visualizza un messaggio per indicare che il sito non è sicuro e potrebbe essere rischioso.

Gli utenti hanno la possibilità di procedere comunque, ma non è consigliabile dati i rischi per la Cybersecurity, che possono includere il malware. Questo influisce notevolmente sul bounce rate dei proprietari dei siti web, perché gli utenti abbandonano rapidamente la home page e si dirigono altrove.

Quando un certificato scade, perde validità e non è più possibile proteggere le transazioni sul sito web che lo utilizza. L’Autorità di certificazione (CA, Certification Authority) chiede di rinnovare il certificato SSL prima della data di scadenza.

Qualunque Autorità di certificazione o servizio SSL utilizzi per ottenere i certificati SSL, riceverai una notifica di scadenza a intervalli prestabiliti, in genere a partire da 90 giorni prima della scadenza. Assicurati che tali promemoria vengano inviati a una lista di distribuzione e-mail, anziché a una persona singola, che potrebbe lasciare l’azienda o cambiare ruolo prima dell’invio del promemoria. Pensa alle figure aziendali interessate da includere nella lista di distribuzione, per assicurarti che i promemoria vengano visti dalle persone giuste al momento giusto.

Come ottenere un certificato SSL gratuito

I certificati SSL gratuiti vengono solitamente installati automaticamente, considerando i tempi necessari alla loro attivazione/riconoscimento, nei piani di hosting che lo prevedono, tramite i sistemi integrati dei relativi pannelli di gestione (come per esempio, Plesk e cPanel).

Alcune Authority di riferimento

Di Hosting-ocusfocus.com

Articoli correlati

Pillole

Download del backup di Softaculous

Feb 27, 2023 Hosting-ocusfocus.com
AntiSpam - RBL - Blacklist Pillole

Quando la tua posta non arriva a destinazione

Feb 10, 2023 Hosting-ocusfocus.com
Pillole Plesk

PLESK – Il ripristino del backup

Dic 15, 2022 Hosting-ocusfocus.com

You missed

Pillole

Download del backup di Softaculous

Feb 27, 2023 Hosting-ocusfocus.com
AntiSpam - RBL - Blacklist Pillole

Quando la tua posta non arriva a destinazione

Feb 10, 2023 Hosting-ocusfocus.com
cPanel/WHM

cPanel – Il download della copia di backup

Gen 21, 2023 Hosting-ocusfocus.com
Plesk

PLESK – Come scaricare il backup

Gen 4, 2023 Hosting-ocusfocus.com