Molto avviene online ora che richiede lo scambio di informazioni personali. I siti che richiedono regolarmente pagamenti web o altre informazioni personali dovrebbero adottare misure aggiuntive per mantenere questi dati al sicuro. In questo articolo, spieghiamo cos’è un SSL, come funziona, come verificare la presenza di un SSL, come ottenerne uno e la differenza tra un SSL e un TLS.
Che cos’è un SSL?
SSL, che sta per Secure Sockets Layer, è un protocollo che stabilisce un collegamento crittografato e autenticato tra un browser Web e un server Web. Ciò significa che se qualcuno dovesse provare a intercettare questi dati, verrebbe fuori solo come un mix confuso di caratteri, rendendo quasi impossibile decifrare. Lo scopo è quello di mantenere tutti i dati scambiati tra il browser web e il server sicuro e privato. Quando un sito richiede informazioni personali di un utente, come informazioni di pagamento o un indirizzo e-mail, dovrebbe avere un certificato SSL.
Come funziona un SSL?
Un certificato SSL crittografa i dati scambiati online per offrire agli utenti un elevato grado di privacy avviando un handshake, o processo di autenticazione, tra due dispositivi che stanno tentando di comunicare attraverso l’uso di una coppia di chiavi, che consiste in una chiave pubblica e una chiave privata. La chiave privata è mantenuta segreta e sicura, mentre il certificato SSL distribuisce ampiamente la chiave pubblica.
Quando un browser si connette a un sito o a un server Web protetto con un SSL, il browser richiede al server di identificarsi. Il server risponde quindi inviando una copia del certificato, che include la chiave pubblica. Il browser verifica che il certificato non sia richiamato, non scaduto e presente in un elenco di autorità di certificazione attendibili. Un’autorità di certificazione è un’entità pubblicamente attendibile che verifica le identità, le associa a coppie di chiavi crittografiche ed emette certificati digitali.
Se il certificato è ritenuto affidabile, il browser sviluppa, crittografa e trasferisce una chiave di sessione simmetrica con la chiave pubblica del server. Dopo aver ricevuto la chiave di sessione simmetrica, il server utilizza la chiave privata per decrittografarla e quindi utilizza la chiave di sessione per inviare un riconoscimento crittografato. Tutti i dati provenienti sia dal server che dal browser vengono quindi crittografati e inviati con la chiave di sessione.
Questo processo ha lo scopo di verificare che entrambi i dispositivi comunicanti siano chi dicono di essere. Una volta trasferiti i dati, SSL fornisce anche una firma digitale per fornire l’integrità dei dati e verificare che siano rimasti inalterati prima di raggiungere il destinatario previsto.
Come controllare il tuo SSL
Puoi verificare lo stato SSL del tuo sito o di quello di qualcun altro utilizzando tre metodi di base:
1. Controlla l’URL
Spesso puoi sapere se un sito Web ha un certificato SSL controllando l’URL. Mentre alcuni URL iniziano con http: altri iniziano con https:. Quella “s” in più segnala che il sito Web è crittografato e sicuro tramite la tecnologia SSL.
2. Cerca un lucchetto
Oltre all’URL, i browser Web spesso indicano se un sito utilizza SSL visualizzando un lucchetto nella barra degli indirizzi prima dell’URL, mentre la barra degli indirizzi per i siti non crittografati può dire “non sicuro”.
3. Ottieni una panoramica della sicurezza
Sebbene raro, un sito può avere un lucchetto e la “s” nell’URL, ma il certificato SSL potrebbe comunque essere scaduto, il che significa che la connessione è effettivamente non protetta. Vale la pena controllare per assicurarsi che il certificato sia ancora valido, soprattutto se il sito richiede molte informazioni personali.
Per controllare un browser Chrome, fai clic su Visualizza nella barra dei menu, quindi su Sviluppatore e infine su Strumenti di sviluppo. Successivamente, trova e fai clic sulla scheda Sicurezza. Viene visualizzata una panoramica della sicurezza, che indica se la pagina è sicura, il certificato è valido, la connessione è sicura e le risorse vengono servite in modo sicuro. Se desideri maggiori informazioni, puoi fare clic su “Visualizza certificato” per scoprire la data esatta in cui il certificato SSL è valido.
Come ottenere un SSL
Se è necessario ottenere un certificato SSL per un sito Web, è possibile seguire questi semplici passaggi:
-
Aggiorna il tuo record WHOIS.
-
Ottieni una CSR.
-
Determinare il tipo di certificato necessario.
-
Invia la tua CSR a un’autorità certificata.
-
Installare il certificato.
1. Aggiorna il tuo record WHOIS
Le autorità di certificazione utilizzano il database WHOIS per verificare il proprietario o l’utente registrato di un nome di dominio. Prima di acquistare un certificato SSL, accedi per assicurarti che siano elencate le informazioni di proprietà corrette, inclusi il nome dell’azienda, l’indirizzo, l’indirizzo e-mail e il numero di telefono.
2. Ottieni una CSR
Una richiesta di firma del certificato (CSR) è un blocco di testo codificato generato dal server. Contiene informazioni chiave incluse nel certificato, una chiave privata e una chiave pubblica. I passaggi necessari per generare la CSR variano a seconda del server.
3. Determina il tipo di certificato di cui hai bisogno
Puoi scegliere il certificato SSL migliore per il tuo sito in base al numero di domini, alla convalida e all’organizzazione. Alcuni diversi tipi di certificazioni sono:
-
Certificato SSL a dominio singolo: Questo certificato protegge solo un dominio, il che significa che i sottodomini non vengono protetti.
-
Certificato SSL per comunicazioni unificate (UCC): A volte indicati come certificati SSL multi-dominio, gli UCC proteggono i domini multipli di un singolo proprietario sotto lo stesso certificato. Un UCC può coprire fino a 100 nomi di dominio e visualizza un lucchetto nella barra degli indirizzi per la verifica.
-
Certificato SSL con caratteri jolly: Questi certificati consentono di acquistare un certificato per coprire un dominio e i relativi sottodomini.
-
Certificato di convalida del dominio (DV): Potresti essere in grado di ricevere una protezione più rapida ed economica da un certificato DV. Questo certificato offre solo un basso livello di crittografia, tuttavia, perché non sei in grado di scoprire chi sta ricevendo le tue informazioni crittografate. Un lucchetto verde viene visualizzato nella barra degli indirizzi per i siti con un certificato DV. Inoltre, i sottodomini non vengono protetti con un certificato DV.
-
Certificato SSL convalidato (OV) dell’organizzazione: È possibile ottenere un livello moderato di crittografia con un certificato OV. Questi certificati vengono ottenuti in soli due passaggi e in genere costano un po ‘meno rispetto ad altri certificati. Proprio come con un certificato DV, un lucchetto verde verifica che un sito sia crittografato con questo tipo di certificato.
-
Certificato SSL EXTENDED Validation (EV): Questi possono essere i certificati SSL più costosi disponibili, ma mostrano anche molto chiaramente la legittimità del tuo dominio nella barra degli indirizzi con un URL HTTPS, il nome dell’azienda, il paese e un lucchetto. Questo tipo di certificato è consigliato per i siti che necessitano di garanzia dell’identità perché raccolgono dati o elaborano pagamenti Web.
4. Invia la tua CSR a un’autorità certificata
Ci sono alcune opzioni di autorità certificata (CA) là fuori. Una volta scelto uno, è necessario acquistare il certificato necessario e inviare le informazioni necessarie.
5. Installare il certificato
Una volta verificata l’identità dell’utente, la CA deve generare ed emettere un certificato firmato da installare sul server Web.
Confronto tra SSL e TLS
Un TLS, o Transport Layer Security, è essenzialmente una versione aggiornata di un SSL. A parte la differenza di nome e alcuni aggiornamenti, i protocolli SSL e TLS sono strettamente correlati. In effetti, i nomi sono spesso confusi e usati in modo intercambiabile.
Sebbene siano simili, il protocollo SSL è stato aggiornato l’ultima volta nel 1996, il che lo ha reso più vulnerabile del protocollo di crittografia TLS aggiornato. Per questo motivo, molti esperti suggeriscono di passare a TLS e la maggior parte dei browser Web non è in grado di supportare completamente SSL. L’importanza del nome SSL ha reso un po ‘confuso quando si acquista una soluzione di sicurezza online. Il più delle volte, quando vedi o senti qualcuno parlare di crittografia SSL, in realtà si riferisce alla protezione TLS.