SSL, TLS e HTTPS: La Guida Completa

Cos’è un certificato SSL?

SSL vuol dire “Secure Sockets Layer” (Livello di socket sicuri), una tecnologia standard che garantisce la sicurezza di una connessione a Internet e protegge i dati sensibili scambiati fra due sistemi impedendo ai criminali informatici di leggere e modificare le informazioni trasferite, che potrebbero comprendere anche dati personali.

La comunicazione fra sistemi può riguardare un server o client (ad es. un sito Web di e-commerce e un browser) o due server (ad es. un’applicazione basata su informazioni personalmente identificabili o dati sul libro paga).

In questo modo è possibile impedire la lettura e l’intercettazione di qualsiasi dato trasferito fra utenti e siti o due sistemi.

È possibile utilizzare algoritmi di crittografia per crittografare i dati in transito, impedendone la lettura agli hacker durante il transito su una connessione digitale.

Queste informazioni possono essere di natura sensibile o personale, come ad esempio numeri di carta di credito, altre informazioni finanziarie, nomi e indirizzi.

TLS (Transport Layer Security, sicurezza del livello di trasporto) è una versione aggiornata e più sicura di SSL. Indichiamo i nostri certificati di sicurezza con la dicitura SSL poiché si tratta di un termine di utilizzo più frequente. Tuttavia, al momento di acquistare SSL da Symantec, i clienti otterranno i certificati TLS più aggiornati con crittografia ECC, RSA o DSA.

HTTPS (Hyper Text Transfer Protocol Secure, Protocollo di trasferimento ipertestuale sicuro) è una dicitura visualizzata negli URL di un sito Web protetto con un certificato SSL. Facendo clic sul simbolo del lucchetto nella barra del browser, è possibile visualizzare i dettagli del certificato, compresa l’autorità di emissione e il nome aziendale del proprietario del sito Web.

Introduzione a SSL

Funzionamento di SSL per la protezione delle informazioni online e l’aumento dell’affidabilità dei siti Web.

  1. Argomenti relativi a SSL per le piccole imprese
  2. Modalità di funzionamento di SSL
  3. Convalida estesa (Extended Validation, EV)
  4. Algoritmi SSL
  5. Modalità di funzionamento dell’EV SSL
  6. Verifica dell’installazione di SSL

Le aziende online o i siti Web che accettano pagamenti con carta di credito o debito o che si basano sul trasferimento di informazioni sensibili o personali (ad es. nome e indirizzo) devono utilizzare un certificato SSL per garantire la sicurezza del proprio sito Web. Si tratta di un metodo fondamentale per garantire la sicurezza dei siti, la protezione dei clienti e l’aumento drastico della percezione di sicurezza dei siti online.

Anche se il certificato SSL viene installato dal lato server, i browser offrono indicazioni visive sull’attivazione della protezione SSL. Innanzitutto, se SSL è presente sul sito, gli utenti visualizzeranno la dicitura “https://” all’inizio del sito Web al posto della convenzionale http:// (la “s” aggiuntiva indica “sicuro”). In base al livello di convalida del certificato fornito a un’azienda, la presenza di una connessione sicura può essere indicata da un’icona a forma di lucchetto o una barra dell’indirizzo di colore verde.

Da un certo tempo, Google impone l’utilizzo di HTTPS o SSL in qualsiasi sito Web. A partire dal 2014, sta offrendo vantaggi in termini di posizionamento nel motore di ricerca ai siti Web sicuri, un altro importante motivo per installare SSL in qualsiasi sito.

Transport Layer Security (TLS) è il successore del protocollo SSL. TLS è una versione migliorata di SSL. Questo protocollo funziona in maniera analoga a SSL, utilizzando la crittografia per proteggere il trasferimento di dati e informazioni. I due termini vengono spesso utilizzati indifferentemente, anche se la sigla SSL è ancora piuttosto diffusa. Al momento di acquistare un certificato SSL da Symantec, è possibile utilizzarlo con i protocolli SSL e TLS.

Livelli di autenticazione aziendale

Così come per la crittografia, le autorità di certificazione (Certicate Authority, CA) possono autenticare anche l’identità del proprietario di un sito Web, aggiungendo un ulteriore livello di sicurezza. Quindi, è possibile utilizzare il certificato SSL come prova dell’identità dell’azienda. È possibile dividere i certificati in tre gruppi di autenticazione basati sul livello della stessa, vale a dire:

  1. CERTIFICATI DI CONVALIDA DEL DOMINIO
  2. CERTIFICATI DI CONVALIDA DELL’ORGANIZZAZIONE
  3. CERTIFICATI DI CONVALIDA ESTESI

Questi elementi variano in termini di scopo e funzionalità. È possibile compiere una scelta informata analizzando le modalità di funzionamento di questi elementi in maniera preventiva.

Certificati SSL di convalida del dominio

Questi protocolli impongono alle aziende di dimostrare il proprio controllo del solo nome del dominio. Il certificato contiene il nome di dominio fornito all’autorità di emissione insieme alla richiesta. A causa dell’impossibilità di verificare l’identità dell’organizzazione, i certificati convalidati di dominio sono il livello più semplice di certificazione SSL e sono adatti a collegamenti interni e server di prova.

Certificati SSL di convalida dell’organizzazione

Questi certificati impongono al richiedente di dimostrare non solo la proprietà del nome del dominio da proteggere, ma anche la registrazione e responsabilità legale aziendale della propria impresa. Il certificato emesso diventa la prova del nome dell’azienda e del dominio. Questo livello di autenticazione è adatto ai siti Web rivolti al pubblico e che raccolgono i dati personali degli utenti. Nota: le persone fisiche non possono ottenere questo tipo di certificati, che sono riservati ad aziende e organizzazioni.

Certificati SSL con convalida estesa

I certificati SSL con convalida estesa proteggono gli utenti in caso di invio delle proprie informazioni personali a siti Web fasulli, che potrebbero essere utilizzati dai criminali per attività di phishing. SSL EV richiede entrambe le convalide sopra menzionate per dominio e azienda, oltre una fasi di convalida aggiuntive per dimostrare l’appartenenza del certificato SSL a un’azienda registrata. Queste informazioni aziendali aggiuntive vengono indicate nel certificato emesso, per la precisione sulla barra degli indirizzi del browser, e sono accessibili da una vasta gamma di browser facendo clic sull’icona a forma di lucchetto. Nel visitare un sito dotato di protezione SSL EV, molti browser visualizzano una barra degli indirizzi di colore verde come indice dell’attendibilità del sito Web e dell’azienda in termini di gestione delle informazioni personali. Questo tipo di certificati è disponibile solo per organizzazioni e imprese.

Certificati SSL

Ottimizzazione della sicurezza in termini di attendibilità con i certificati SSL e il sigillo di sicurezza Norton.

CONFRONTO DEI CERTIFICATI SSL

1 Secure Site Pro con EV

2 Secure Site con EV

3 Secure Site Pro

4 Secure Site Wildcard

5 Secure Site

In che modo agisce un certificato SSL?

SSL agisce secondo questo principio di base: quando si installa un certificato SSL su un server a cui si connette un browser, la presenza del certificato SSL attiva il protocollo SSL (o TLS), che crittograferà le informazioni scambiate tra server e browser o tra diversi server. Questa è una spiegazione piuttosto semplificata.

SSL agisce direttamente sul protocollo TCP (Transmission Control Protocol), operando come strato protettivo. Esso consente ai livelli più alti del protocollo di restare invariati fornendo una connessione sicura. Sotto il livello SSL, gli altri livelli del protocollo possono operare normalmente.

Se utilizzato correttamente, un certificato SSL consentirà a un potenziale aggressore di visualizzare solo l’IP e il numero di porta a cui è connesso e la quantità approssimativa di dati inviata. Questa persona può terminare la connessione, ma il server e l’utente visualizzeranno tale azione come commessa da una terza parte. In ogni caso, non sarà possibile intercettare alcuna informazione, vanificando ogni eventuale tentativo.

L’hacker può intuire il nome dell’host a cui è connesso l’utente, ma non il resto dell’URL. Essendo la connessione crittografata, le informazioni importanti resteranno protette.

SSL inizia ad agire una volta stabilita la connessione TCP, avviando un’operazione definita “handshake SSL”.

Il server invia il certificato all’utente insieme a una serie di specifiche (tra cui la versione di SSL/TLS, il metodo di crittografia utilizzato ecc).

Quindi, l’utente verifica la validità del certificato, seleziona il massimo livello di crittografia supportato da entrambe le parti e avvia una sessione sicura utilizzando questi metodi. Sono disponibili diversi metodi con differenti livelli di efficacia, denominati “suite per la crittografia”.

Per garantire l’integrità e l’autenticità di tutti i messaggi trasmessi, i protocolli SSL e TLS possono avvalersi anche di un processo di autenticazione basato su codici di autenticazione dei messaggi (MAC, Message Authentication Code). Questa procedura può sembrare lunga e complicata, ma avviene in modo quasi istantaneo.

Quando occorre SSL?

La richiesta di Google dell’utilizzo di HTTPS in tutto il Web e l’aumento della priorità dei siti dotati di tale tipo di certificato indica l’elevata importanza di SSL, Tuttavia, esistono altri importanti motivi per acquistare un certificato SSL.

Acquisti sicuri

Secondo Business Insider, il 74% dei carrelli acquisti viene abbandonato, ma il 64% è recuperabile grazie all’ottimizzazione di flusso e sicurezza del pagamento. Gran parte di questo 64% completerà un acquisto dopo aver ottenuto informazioni sulla sicurezza dell’area relativa al pagamento. Non si tratta di cifre che le aziende possono ignorare. Anche l’utilizzo di SSL per il solo pagamento è più che giustificabile.

Offerta di iscrizioni

SSL è consigliabile per i siti che offrono una modalità di iscrizione o un altro tipo di funzione che richiede la raccolta di indirizzi e-mail e altre informazioni sensibili. È sempre consigliabile tenere le informazioni dei clienti quanto più al sicuro possibile.

In caso di utilizzo di moduli

Ciò vale anche per l’utilizzo di un qualsiasi tipo di modulo per inviare informazioni, documenti o immagini. È sorprendente il quantitativo di informazioni raccolte sui visitatori di un sito, motivo in più per tenere tutto al sicuro.

Che si tratti di un semplice blog o un sito standard in grado di fornire semplici informazioni standardizzate, HTTPS protegge la sicurezza dei siti, riducendo il rischio di manutenzione e impedendo a terzi di inserire annunci abusivi nella pagina per compromettere l’esperienza degli utenti. Inoltre, un’eventuale manomissione può compromettere il posizionamento del sito nei motori di ricerca.

SSL è compatibile con tutti i dispositivi?

In breve, la risposta è Sì. Tuttavia, esistono alcune configurazioni non funzionanti al 100%, per cui è importante contattare il team commerciale dell’autorità di certificazione in caso di dubbi.

Dispositivi e sistemi operativi

Anche in questo caso, SSL supporta i principali sistemi operativi per computer, tablet e smartphone. Tuttavia, nel caso dei dispositivi portatili, alcuni dispositivi meno recenti potrebbero non supportare i protocolli SSL e TLS più aggiornati, per cui è importante eseguire una ricerca per garantire la massima compatibilità possibile. Il fornitore del certificato SSL potrà offrire una consulenza in caso di dubbi.

Compatibilità dei browser

Gli utenti utilizzano una vasta gamma di browser (Chrome, Firefox, Safari ecc.) per accedere ai contenuti Web. Così come per i siti, creati per funzionare su tutti i browser, la protezione SSL/TLS offerta da un fornitore affidabile funzionerà nel 99% dei casi. A meno che gli utenti non eseguono l’accesso al sito utilizzando browser di nicchia, otterranno un risultato ottimale con tutti i prodotti più diffusi.

Server

Grazie alle nuove modalità di funzionamento di SSL, i server non devono disporre di certificati radice integrati: occorrerà installare i corrispondenti certificati intermedi. Se installato in maniera corretta, il certificato può essere supportato da ogni server. Durante il processo di handshake, sarà il browser a stabilire se il certificato sia affidabile o meno.

Quali sono le implicazioni di SSL a livello visivo?

Come indicato diverse volte in questa guida, l’impatto visivo di un certificato SSL è spesso l’elemento di maggiore effetto su utenti e clienti potenziali. In che modo agisce questa caratteristica? Quale elemento visivo indica la presenza di SSL in un sito?

Così come per qualsiasi acquisto, sia fisico sia online, gran parte delle persone preferisce rivolgersi a un rivenditore affidabile. I certificati dimostrano l’autenticità o la competenza di un’azienda in un determinato campo, aumentando la sicurezza dei clienti in termini di acquisto.

Questo è esattamente l’impatto visivo di un certificato SSL sui clienti potenziali. SSL e TLS sono gli standard più accettati ed efficaci del settore in termini di sicurezza e sono certificati da esporre in maniera orgogliosa ed evidente al pubblico.

Innanzitutto, vengono visualizzati nella barra degli indirizzi. Il prefisso del sito sarà https:// e non http://, caratteristica molto apprezzata dagli utenti.

La presenza dell’icona a forma di lucchetto nella barra degli indirizzi è un altro importante indice di sicurezza. Questa icona indica ai clienti la presenza di una connessione sicura e crittografata. Come illustrato in precedenza, tale icona può spingere gli utenti a completare una transazione con maggiore probabilità.

Utilizzando la forma di certificato più sicura, SSL con convalida estesa, il nome dell’azienda viene visualizzato in verde nella barra degli indirizzi. Si tratta di un altro metodo per assicurare ai clienti la totale attendibilità del sito.

Infine, numerosi certificati SSL sono dotati di un’icona a forma di sigillo che è possibile utilizzare sul sito al fine di visualizzare il fornitore di SSL utilizzato. Fornendo informazioni sulla sicurezza e protezione delle informazioni, è possibile invogliare i clienti a effettuare transazioni commerciali su un sito. Secondo una ricerca del 2013, il sigillo SSL di Symantec viene considerato il più importante nell’intero Web.

Che cosa è un errore di connessione SSL?

Un errore di connessione SSL si verifica quando la pagina visualizzata contiene alcuni problemi di sicurezza. Questi errori vengono visualizzati per proteggere l’utente, interrompendo l’accesso per informare della presenza di ipotetici problemi di sicurezza che potrebbero verificarsi proseguendo nella navigazione.

Questi errori possono essere visualizzati in diversi modi, spesso dipendenti dal browser utilizzato. In alcuni casi, la pagina potrebbe diventare rossa con un prefisso https:// anch’esso visualizzato in rosso. Utilizzando Google Chrome potrebbero essere visualizzati diversi messaggi sullo schermo. Questi messaggi comprendono “La connessione non è privata” o “Pagina Web non disponibile”.

Ciò potrebbe essere dovuto a un codice di sicurezza non aggiornato sul sito Web e non alla natura sospetta del sito visualizzato. Tuttavia, gli utenti devono prendere in considerazione gli errori di connessione soprattutto in presenza di qualche dubbio sulla totale attendibilità del sito di destinazione.

Anche se esistono diversi metodi per annullare gli errori di connessione SSL, è vivamente sconsigliato eseguire tale operazione.

Se, durante le verifiche dello sviluppo di un sito Web, esso appare funestato da errori di connessione USSL, è imperativo agire al più presto possibile. I rimedi potrebbero comprendere l’aggiornamento delle impostazioni di sicurezza o il semplice acquisto di un certificato SSL più specifico. In questo modo, i browser potranno stabilire se il sito sia sicuro o meno e consentire agli utenti di accedervi senza ricevere avvertimenti di sicurezza.

SSL funziona anche per le e-mail?

Gran parte dei fornitori leader di e-mail utilizza la crittografia SSL per la posta degli utenti. In gran parte dei casi, l’opzione SSL viene selezionata automaticamente nelle impostazioni dell’e-mail. Per scaricare un’e-mail che ha causato un messaggio di errore, può essere necessario deselezionare questa opzione.

Se l’account utilizzato dagli utenti per scaricare l’e-mail supporta SSL, sarà possibile selezionare questa opzione e inviare i dati con una connessione sicura.

Se un’azienda configura un servizio e-mail, il relativo team IT potrà contattare il proprio fornitore per verificare se la protezione SSL sia già attiva. In questo modo sarà possibile eliminare i problemi di sicurezza durante l’invio di e-mail a blocchi o in maniera individuale.

Come implementare un certificato SSL su un sito

Esistono diversi metodi per aggiungere un certificato SSL, basati sulle modalità di hosting di un sito e sulla posizione dello stesso. In alcuni casi, se sul sito è presente un elemento di e-commerce, sarà obbligatorio disporre di un certificato. I principali fornitori di hosting offrono spesso pacchetti comprensivi di certificati SSL.

Potrebbe anche essere possibile trasferire SSL da altri host, esportandolo dal server originale e importandolo su quello nuovo. Sarà necessario seguire le istruzioni specifiche fornite sul sito del fornitore dell’hosting Web. Nota: alcune autorità di certificazione richiedono l’acquisto di una licenza per ciascun server che ospiterà il certificato.

Riepilogo su SSL

SSL è un importante strumento di sicurezza per le aziende che sta ricoprendo un ruolo sempre più importante nel successo delle transazioni online. Non si tratta di uno strumento complicato da installare e acquistare. È disponibile una notevole quantità di risorse presso numerosi provider SSL.

Il prefisso https:// prima dell’indirizzo del sito e l’icona a forma di lucchetto sono elementi semplici da implementare che possono produrre un notevole impatto sulle imprese aumentando le vendite, favorendo la fiducia dei consumatori e ottimizzando il posizionamento dei motori di ricerca Web attraverso un singolo certificato standard di settore.

Glossario di SSL

#

Crittografia a 256 bit

Processo di crittografia di un documento elettronico con un algoritmo basato su una chiave lunga 256 bit. La lunghezza della chiave è proporzionale alla relativa efficacia.

A

Crittografia asimmetrica

Cifrature che utilizzano una coppia di 2 chiavi durante il processo di codifica e decodifica. Nel mondo di SSL e TLS, queste chiavi vengono denominate “pubblica” e “privata”.

C

Richiesta di firma certificato (Certificate signing request, CSR)

Richiesta di certificato Symantec in un formato leggibile dai sistemi informatici. Una CSR contiene di solito una chiave pubblica e il nome distinto del richiedente.

Autorità di certificazione (Certification authority, CA)

Ente autorizzato all’emissione, alla sospensione, al rinnovo o alla revoca dei certificati nell’ambito di una CPS (Certification Practice Statement, Dichiarazione della pratica di certificazione). Le CA vengono identificate da un nome univoco presente su tutti i certificati e dai CRL emessi da tale ente. Un’autorità di certificazione deve divulgare la propria chiave pubblica o fornire un certificato di un’autorità di certificazione di livello più elevato che attesti la validità della propria chiave pubblica, se subordinata a un’autorità di certificazione primaria. Symantec è un’autorità di certificazione primaria (Primary certification authority, PCA).

Suite di cifratura

Insieme di protocolli di scambio chiavi che comprende gli algoritmi di autenticazione messaggi, crittografia e autenticazione utilizzati nei protocolli SSL.

Nome comune (Common name, CN)

Valore di attributo nel nome distinto di certificato. Per i certificati SSL, il nome comune è quello dell’host DNS del sito da proteggere. Per i certificati dei software publisher, il nome comune è quello dell’organizzazione.

Errore di connessione

Se i problemi di sicurezza impediscono l’avvio di una sessione sicura, questi vengono contrassegnati al momento di accedere a un sito.

D

Certificati SSL di convalida del dominio (Domain Validation SSL Certificates)

Il livello più semplice di certificato SSL, in cui prima dell’emissione del certificato viene convalidata solo la proprietà del nome.

E

Crittografia ellittica (Elliptic Curve Cryptography, ECC)

Crea chiavi di crittografia in base al concetto di punti su una curva, in modo da definire la coppia di chiavi pubblica e privata. È molto difficile da violare utilizzando i metodi “brute force” adoperati dagli hacker e offre spesso una soluzione più rapida e meno esigente in termini di potenza di calcolo rispetto alla semplice crittografia con catena RSA.

Crittografia

Processo di trasformazione di dati leggibili (testo semplice) in forma non comprensibile (testo cifrato) per impedire l’accesso ai dati originali (crittografia a senso unico) o il ripristino senza un processo di decrittazione inverso (crittografia a due vie).

Certificati SSL con convalida estesa (EV)

Il formato più completo di certificato sicuro per convalidare un dominio, un processo che richiede un’autenticazione molto rigorosa dell’azienda evidenziata nella barra degli indirizzi.

K

Scambio chiavi

Metodo utile a utenti e server per definire in maniera sicura il segreto pre-master di una sessione.

M

Segreto master

Materiale della chiave per la creazione di chiavi di crittografia, segreti MAC e vettori di inizializzazione.

Codice di autenticazione dei messaggi (Message Authentication Code, MAC)

Funzione di hash unidirezionale basata su messaggio e segreto.

O

Certificati SSL di convalida dell’organizzazione (Organization Validation, OV)

Tipo di certificato SSL che convalida la proprietà del dominio e l’esistenza dell’organizzazione alla base dello stesso.

P

Segreto pre-master

Materiale della chiave utilizzato per la derivazione del segreto master.

Infrastruttura della chiave pubblica (Public key infrastructure, PKI)

Architettura, organizzazione, tecniche, metodi e procedure per il supporto dell’implementazione e del funzionamento di un sistema di crittografia a chiave pubblica basato su certificato. Il PKI è costituito da sistemi che cooperano all’offerta e implementazione del sistema crittografico a chiave pubblica e di altri possibili servizi correlati.

S

Server sicuro

Server che protegge le pagine Web ospitate utilizzando SSL o TLS. Utilizzando un server sicuro, il server esegue l’autenticazione con l’utente. Inoltre, le informazioni dell’utente vengono crittografate dal protocollo SSL del browser Web dell’utente prima dell’invio via Internet. Solo il sito host che ha richiesto le informazioni potrà decodificare questi dati.

Certificati SSL SAN (Subject Alternative Name, Nome alternativo del soggetto)

Tipo di certificato utile per proteggere diversi domini con un singolo certificato SSL.

SSL

Secure Sockets Layer, in italiano “livello di socket sicuri”. Protocollo utilizzato da server e browser Web per l’autenticazione, crittografia e decodifica dei dati inviati via Internet.

Certificato SSL

Certificato del server per l’autenticazione del server nei confronti dell’utente e la crittografia dei dati trasferiti fra server e utente. I certificati SSL vengono venduti ed emessi da Symantec in maniera diretta e attraverso il PKI gestito da Symantec per SSL Center.

Handshake SSL

Protocollo utilizzato nell’ambito di SSL per la negoziazione della sicurezza.

Crittografia simmetrica

Metodo di crittografia che implica l’utilizzo della medesima chiave durante il processo di codifica e decodifica.

T

TCP

Transmission control protocol, ovvero protocollo di controllo della trasmissione, uno dei principali protocolli di qualsiasi rete.

W

Certificati SSL “wildcard”

Tipo di certificato per la protezione di diversi domini secondari.