Certificato digitale di un sito web, cos’è e a cosa serve

Firme digitali, siti web, dispositivi IoT, carta nazionale dei servizi: questi sono solo alcuni dei principali ambiti di applicazione di un certificato digitale.

Si tratta di uno strumento che associa univocamente un soggetto (privato o giuridico), un hardware o un programma ad una chiave pubblica.

Ma cos’è, come si ottiene e a cosa serve un certificato digitale?

Cos’è un certificato digitale
Differenze tra certificati client e certificati server
Quali dati contiene un certificato digitale?
Cos’è una Certification Authority?
Come si ottiene il certificato digitale?
Conclusioni

Cos’è e come funziona un certificato digitale

Il certificato digitale è un documento elettronico che utilizza sistemi di crittografia asimmetrica per associare in modo univoco l’identità di un soggetto ad sua chiave pubblica.

Va sottolineato che il termine “soggetto” non si riferisce soltanto a individui, ma può comprendere anche persone giuridiche, siti web o dispositivi IoT.

Nella crittografia asimmetrica, infatti, ogni entità è associata ad una coppia di chiavi, una pubblica e una privata. Per inviare un messaggio cifrato ad un destinatario, occorre criptarlo utilizzando la sua chiave pubblica, che è nota a tutti. Il destinatario, a sua volta, dovrà decriptare il messaggio utilizzando la sua chiave privata.

Tuttavia, come possiamo essere certi che la chiave pubblica che stiamo utilizzando appartiene effettivamente al nostro interlocutore e non è stata sostituita da un hacker?

A questo proposito, entra in gioco il certificato digitale, il quale garantisce l’identità del soggetto associata alla chiave pubblica utilizzata, poichè al suo interno contiene:

le specifiche della chiave
informazioni sul soggetto o il device cui è intestato
la firma digitale dell’ente accreditato che l’ha emessa

Differenze tra certificati client e certificati server

Una delle principali differenziazioni nell’ambito delle certificazioni digitali è quella tra “certificati client” e “certificati server“.

Sicuramente il metodo di certificazione più conosciuto è quello lato server, associato ai certificati SSL dei siti web. In questo caso, è il proprietario di un portale web a richiedere un certificato per attestare il proprio indirizzo o nome di dominio.

In questo modo, ogni volta che il browser di un utente tenta di connettersi al sito, viene inviata una richiesta al server per far sì che venga mostrato il suo certificato digitale.

Se quest’ultimo è stato rilasciato da un’Autorità di certificazione riconosciuta e la chiave pubblica riesce a decrittare correttamente la firma digitale, è possibile avviare una sessione di navigazione sicura.

Dall’altro lato, troviamo i cosiddetti certificati client che, sebbene meno conosciuti, hanno ampia applicazione nella realtà qutidiana.

Dalle VPN alle transazioni con il bancomat, passando per le tessere magnetiche e i dispostivi di autenticazione.

In questo caso, è l’identità dell’utente a dover essere autenticata. Per tale motivo è il server a verificare la validità del certificato del soggetto che sta tentando di stabilire la connessione.

A differenza del certificato server, tuttavia, non entrano in gioco autorità di certificazione ufficiali, ma si tratta di file (solitamente con estensione .p12, .pfx, .pem) installati direttamente sulla macchina client ed associati a specifiche credenziali.

Quali dati contiene un certificato digitale?

L’ITU-T X.509 è il protocollo internazionale che definisce formato e contenuto delle informazioni riportate nei certificati digitali.

Giunto alla sua terza versione, è lo standard più diffuso in questo ambito.

Secondo tale standard, i dati contenuti in un certificato digitale includono:

La versione e numero seriale del certificato
L’ID dell’algoritmo (algoritmo e parametri)
L’ente che ha emesso il certificato e codice identificativo univoco dell’ente emittente
Il periodo di validità del certificato
Il nome dell’intestatario
Le informazioni sulla chiave pubblica del soggetto (algoritmo, parametri e chiave pubblica)
Le estensioni del certificato (.CER, .DER, .PEM, P12)
L’algoritmo e i parametri di firma del certificato
La firma digitale del certificato

Nella versione 2 di un certificato X.509, troviamo l’Identificativo emittente e l’Identificativo oggetto, mentre nella versione 3 possono essere presenti varie estensioni. Alcune estensioni sono standard, come ad esempio quella di Basic Constraint, mentre altre sono specifiche dell’implementazione.

La firma digitale di un certificato viene generata utilizzando la chiave privata della Certification Autorithy che ha rilasciato il certificato stesso. Chiunque abbia bisogno di verificare il certificato digitale può utilizzare la chiave pubblica della CA, riportata nel certificato della stessa.

Cos’è una Certification Authority?

Una Certification Authority è un’organizzazione che emette certificati digitali utilizzati per autenticare l’identità di persone, device, software e altri oggetti nel mondo digitale.

La CA svolge il ruolo di garante di attendibilità e sicurezza per i certificati digitali che rilascia.

In sostanza, la CA attesta che un’entità (che può essere un individuo, un’organizzazione o un dispositivo) è chi dice di essere, e che la comunicazione tra tale entità e il destinatario è sicura e protetta da intercettazioni.

La CA è responsabile

della verifica dell’identità richiedente
del controllo della sua idoneità a ricevere un certificato

Ciò include la

verifica dell’eleggibilità del soggetto a richiedere il certificato
la validità del suo indirizzo e-mail
la proprietà del servizio cui il certificato è destinato

I certificati digitali emessi dalle CA sono fondamentali per:

l’utilizzo di tecnologie crittografiche, come SSL/TLS
la protezione delle transazioni online
la sicurezza delle comunicazioni in rete

Senza di essi, la comunicazione tra client e server potrebbe essere intercettata e i dati scambiati potrebbero essere violati.

E’ possibile consultare l’elenco delle Certification Authority in Italia visitando il sito dell’Agenzia per l’Italia Digitale (AGID).

Come si ottiene il certificato digitale?

La procedura per ottenere un certificato digitale può variare a seconda del fornitore di certificati, ma i passaggi principali sono generalmente gli stessi.

In primo luogo, il richiedente deve generare una coppia di chiavi asimmetriche per cifrare le comunicazioni. Questa generazione può avvenire mediante un software specifico fornito dal fornitore di certificati, e richiede di solito la partecipazione del richiedente
Successivamente, il richiedente deve fornire le proprie informazioni personali alla Certification Authority, come il nome a dominio del sito, l’indirizzo email, il nome e il cognome del richiedente, ecc. Questa fase viene chiamata “enrollment” e le modalità con cui va eseguita sono definite da standard specifici
La Certification Authority verifica la correttezza dei dati forniti e, a seconda del tipo di certificato, potrebbe richiedere ulteriori informazioni o documenti per completare gli accertamenti
Una volta verificati i dati, la Certification Authority genera il certificato e lo firma digitalmente, crittografandolo con la propria chiave privata per garantire che i dati in esso contenuti non vengano modificati
Infine, il certificato firmato viene inviato al richiedente che dovrà installarlo sul proprio server o farlo installare da un tecnico specializzato

Una volta installato, il certificato consente di autenticare il proprietario del sito web e di garantire la sicurezza delle comunicazioni tra il sito e gli utenti.

Conclusioni

In conclusione, il certificato digitale si rivela fondamentale per garantire la sicurezza di informazioni, comunicazioni e transazioni online.

Grazie a questo strumento, gli utenti possono avere la certezza che il sito web che stanno visitando o l’applicativo che stanno utilizzando è autentico e che le informazioni condivise sono al sicuro.

Inoltre, il certificato digitale consente di proteggere le transazioni economiche e finanziarie, evitando che informazioni sensibili, come numeri di carta di credito o codici bancari, vengano intercettate da terze parti.

Per questo motivo, il certificato digitale è diventato un requisito indispensabile per qualsiasi attività commerciale online.

Le Certification Authority ne garantiscono:

corretta emissione
validità

svolgendo un ruolo fondamentale nel sistema di sicurezza informatica.

Infine, è importante sottolineare che la tecnologia dei certificati digitali continua a evolversi, offrendo nuovi strumenti per migliorare la sicurezza online e prevenire frodi e attacchi informatici.

Insomma: in un mondo sempre più digitale, il certificato digitale rimane un elemento imprescindibile per la tutela della privacy e della sicurezza online.

Autore articolo
Gli ultimi articoli

Anna Orrù

Classe 1990, dopo la laurea in Scienze Politiche mi sono trasferita in Inghilterra. Ho sempre amato la scrittura e ad oggi mi occupo, oltre che di digital marketing, di copywriting e Seo. La curiosità guida ogni ambito in cui opero, infatti non smetto mai di aggiornarmi e studiare.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.