Come funziona un certificato SSL

Scritto da: Seeoux

Se hai dei dubbi riguardo a cos’è un certificato ssl, su come funziona, o perché è cosi utile al tuo sito web, troverai delle risorse utili in questo articolo che spero possa esserti utile.

Un certificato SSL (Secure Sockets Layer) ci garantisce una protezione assicurando che le informazioni sensibili fornite dagli utenti su di un sito web, come ad esempio l’inserimento di password, dati personali o numeri di carte di credito, avvengano in una connessione protetta, questo tramite una connessione criptata per l’appunto.

Nel momento in cui si effettua la prima connessione tra client e server web ( ossia il tuo browser web si sta connettendo ad un sito tramite richiesta HTTP ) ci sarà un invio del certificato SSL dal server web ( su cui è presente il sito in questione ) al browser stesso; dopo questo primo scambio avrà inizio il cosiddetto SSL Handshake, il quale permetterà al server e al client di autenticarsi a vicenda e di cooperare per la creazione delle chiave simmetriche da utilizzare nella comunicazione tra di loro per una veloce cifratura, decifratura e verifica di eventuale intrusione tra i due durante la sessione avviata.

Anche i protocolli di crittografia o sicurezza sono soggetti a dei bug, a delle vulnerabilità scoperte…pertanto sono implementati o sostituiti con versione più sicure in modo che si riesca ad avere un elevato livello di sicurezza, è questo il caso del protocollo di sicurezza TLS 1.2 ( Transport Layer Security ) che ha sostituito il precedente TLS 1.1 ( appunto non sicuro) o come l’algoritmo di criptazione SHA-2 (Secure Hash Algorithm) in sostituzione dello SHA-1.

Qualora tu abbia già installato sul tuo sito web un certificato SSL o voglia testare la sicurezza del certificato del sito web su cui acquisti maggiormente, in base alle nuove versioni di protocolli e algoritmi, puoi farlo visitando il seguente link ed aggiungendo l’url del dominio in questione.

Ma come ci rendiamo conto se un sito web è protetto da un certificato SSL?

La presenza o meno di un certificato SSL valido per un sito web è distinguibile dall’indirizzo sulla barra di navigazione, dove potrai vedere un lucchetto verde ( per alcuni tipi di certificati ) e anziché il protocollo HTTP -> http:// troverai l’ http://, proprio per specificare che si sta effettuando una connessione sicura tramite HTTPS con un valido certificato SSL.

Non ci facciamo prendere dal panico ed andiamo a vedere brevemente la differenza tra HTTP e HTTPS :

HTTP = HyperText Transfer Protocol è un protocollo utilizzato per la comunicazione tra un client e un server web ( facciamo riferimento ad un sito web ) con le comunicazioni tra browser ( client ) e sito web ( server ) che avvengono “in chiaro” senza alcuna protezione e/o cifratura.

HTTPS = HyperText Transfer Protocol Secure si basa sempre su protocollo HTTP e ( generalmente ) tutte le comunicazioni in questo caso sono protette appunto dal certificato ssl, con l’instaurazione di un canale protetto ( tra client – server ) che cripta la connessione in entrata e in uscita garantendo una maggiore sicurezza nei messaggi scambiati.

Tutti i certificati SSL sono uguali tra di loro?

Esistono molti tipi di certificati che possono differenziarsi per diversi aspetti, non solo per l’ente che emette i certificati ma per il loro costo, funzionalità, protezione ( solo per citarne alcune ), andiamo a prendere in esame due tipologie di certificato SSL.

Esistono dei certificati SSL autofirmati ( self-signed ), ovviamente gratuiti, ma non riconosciuti come validi e sicuri dai browser web; esistono dei certificati SSL free, come ad esempio il certificato SSL fornito da LET’S ENCRYPT che ci offre una protezione di base, con alcune limitazioni quali: supporto, compatibilità con diversi dispositivi e browser, garanzie sulle transazioni effettuate sul nostro sito, ma risulta essere efficiente per poter avere un certificato SSL valido per il nostro sito web, soprattutto se non abbiamo particolari esigenze, come possono esserci per un sito di e-commerce.

Il certificato SSL rilasciato da let’s encrypt è fornito di default con ogni soluzione web hosting di seeoux.

Esistono ovviamente certificati SSL a pagamento, con molte differenze di caratteristiche, protezione e costi. Esempio di certificati SSL professionali e a pagamento sono quelli rilasciati dalla Geotrust.

Tali certificati SSL possono essere acquistati da seeoux che provvederà per te anche alla loro installazione.

Vediamo nel dettaglio alcune delle caratteristiche che differenziano i certificati ssl tra loro

Validazione

1. Validazione di tipo dominio

Il tempo di emissione dei certificati con tale tipologia di validazione è immediato, in quanto c’è bisogno solo di verificare la proprietà del dominio. Certificati SSL con tale validazione sono i più economici.

2. Validazione di tipo organizzazione

Sono certificati SSL con validazione aziendale, saranno richiesti dati aggiuntivi per completare l’emissione.

3. Validazione di tipo estesa

Sono certificati SSL che prevedono l’ aggiunta della green bar invece del lucchetto verde, ed è riportato il nome dell’azienda che ha acquistato tale certificato ed è stata validata dall’ente che lo ha emesso. I tempi per rilascio di tale certificato sono i più lunghi in quanto è doveroso un’invio di documentazione certificante l’azienda.

Garanzie

Ogni certificato SSL fornisce delle garanzie economiche differenti, e siamo pertanto assicurati in modo differente. Per ogni certificato si potrà leggere la garanzia a quale valore corrisponda.

Copertura

Esiste un’ ulteriore caratteristica associata ad alcune tipologie di certificati SSL come la Wildcard che consente di avere con un solo certificato la protezione di eventuali sottodomini associati al dominio primario, o addirittura di più domini.

Esistono 3 tipologie di Wildcard:

Wildcard Subdomain: alcuni certificati SSL forniscono la possibilità di proteggere un numero illimitato di sottodomini con lo stesso certificato.

Wildcard Multidomains: Questa tipologia fornisce la possibilità di proteggere un numero limitato di domini con lo stesso certificato.

Wildcard Multidomain/Subdomain: fornisce la possibilità di proteggere un numero limitato di domini e sottodomini utilizzando lo stesso certificato ssl.

L’acquisto di un certificato ssl di tipo wildcard è utile a chi abbia esigenze di maggiore protezione, come ad esempio il voler proteggere più sottodomini o più domini presenti su stesso server / servizio web hosting.

Chi ha bisogno di un certificato SSL?

L’acquisto di un certificato SSL professionale è indicato a tutti quegli utenti che abbiano un sito web di vendita online ( e-commerce), ai siti web che abbiano una funzionalità di registrazione utenti con dati sensibili, per tutti gli altri siti web su cui si vuole seguire “solo” l’indicazione S.E.O rilasciata da Google, può andar bene qualsiasi soluzione valida di certificati SSL come ad esempio la precedente trattata Let’s Encrypt.