HTTPS: l’importanza del certificato SSL

18/09/2019

Da ormai 2 anni (31 Gennaio 2017) Google classifica come non sicuri tutti i siti sprovvisti di certificato SSL. Questo vuol dire che gli utenti visualizzano una pagina rossa di warning che segnala il sito come non sicuro, scoraggiando quindi la navigazione. Al giorno d’oggi però, non tutti i siti sono stati aggiornati, occorre quindi fare attenzione e porre rimedio.

Il certificato SSL (Secure Socket Layer) server per garantire una comunicazione sicura e crittografata su internet (tramite protocollo SSL/TLS via HTTPS). A differenza del protocollo HTTP i dati non possono essere letti da altre persone (evitando quindi sottrazione di dati importanti), e tramite il certificato SSL è possibile inoltre validarne l’autenticità e l’identità dell’interlocutore (nel caso di un ecommerce o di un’organizzazione per esempio).

Un utente infatti è più sicuro se l’ecommerce su cui sta effettuando un acquisto è autenticato e validato; è consapevole infatti che sta acquistando in un negozio attendibile ed affidabile. Al contrario potrebbe essere più diffidente o addirittura abbandonare la navigazione qualora il sito web fosse sprovvisto di certificato SSL e quindi di validazione/autenticazione.

La presenza di un certificato SSL è verificato visivamente con un lucchetto a sinistra della barra degli indirizzi (in modo diverso a seconda del browser utilizzato). Cliccando sul lucchetto è possibile ottenere diverse informazioni come per esempio il tipo di certificato, la validità, l’ente certificatore ed eventualmente l’organizzazione.

Esistono, infatti, diversi tipi di certificati, e si differenziano principalmente (oltre che per il costo) per il grado di validazione richiesta durante l’emissione dello stesso.

Distinguiamo quindi i certificati in 3 categorie.

Convalida a livello di Dominio (DV – domain validated)

I certificati DV certificano solamente il dominio, di solito tramite email. Sono i certificati più economici ma offrono comunque un buon livello di protezione della comunicazione, unito al fatto che solo il proprietario del dominio può richiedere (e quindi installare) il certificato correlato.

L’emissione di questo tipo di certificato è praticamente immediata, solitamente si riceve una mail di conferma all’indirizzo dell’amministratore di dominio.

Convalida a livello di Organizzazione (OV – organization validated)

I certificati OV certificano oltre al dominio anche l’organizzazione, e permettono quindi di validare la proprietà dell’azienda del sito web.

L’emissione del certificato non è immediata perchè per permettere la validazione della proprietà viene contattato anche telefonicamente il rappresentante dell’azienda.

Sebbene leggermente più costosi, questi tipi di certificati sono consigliati per siti web con transazioni di pagamento come gli Ecommerce.

Convalida estesa (EV – extended validation)

I certificati di tipo EV offrono il più alto grado di sicurezza e validazione per un sito web. Sono gli unici certificati che permettono la visualizzazione dell’indicatore verde nella barra degli indirizzi, soprattutto con il nome stesso dell’azienda. In questo modo l’utente è maggiormente rassicurato e la navigazione è più protetta.

Il rilascio di questo tipo di certificato è più lento rispetto ai precedenti, questo perchè il provider deve fare degli accertamenti sull’azienda stessa, assicurandosi che sia effettivamente l’organizzazione proprietaria del sito web.

Visualizzazione della convalida a seconda del browser

Tutti i tipi di certificati possono essere acquistati da vari provider, sia direttamente che tramite agenzie terze che si affidano poi direttamente ai fornitori.

Wildcard, UC/SAN e Let’s Encrypt

Oltre al certificato semplice per singolo dominio (o sottodominio) è possibile acquistare i certificati di tipo wildcard, utili per esempio per certificare diversi sottodomini con un unico certificato, e i certificati di tipo UC/SAN, utilizzati per certificare diversi host/dominio con un unico certificato.

Esiste inoltre da diversi anni un servizio gratuito chiamato Let’s encrypt, il quale permette di generare un certificato SSL valido per il dominio. Questo tipo di servizio è ormai incluso in quasi tutti i piani hosting più recenti, al contrario è possibile che un piano hosting meno recente non fornisca questo servizio e quindi necessiti sicuramente di un acquisto esterno.

Let’s encrypt permette l’accesso al protocollo HTTPS, una gestione facilitata del certificato e un accesso quindi immediato ad una navigazione più sicura.

Perchè quindi acquistare un certificato a pagamento dei tipi riportati prima?

Let’s encrypt può essere la situazione ideale per una grande maggioranza di siti web, soddisfando l’esigenza della navigazione sicura e protezione dei dati, occorre però tenere in considerazione che in alcuni ambiti (per esempio ecommerce) è preferibile una sicurezza maggiore e quindi adottare un certificato che utilizzi un processo crittografico più complesso. Non dimenticandosi che un certificato base come Let’s encrypt non permette di validare il proprietario del dominio, nè tantomeno l’autenticità dell’organizzazione.

Consigliamo quindi di verificare innanzitutto che il vostro sito web utilizzi il protocollo HTTPS, ma soprattutto che sul vostro server sia installato un certificato valido e adeguato alle vostre esigenze.

AUTORE: Michele Morandini – IT Manager

Tags