Certificato SSL: cos’è e come funziona

Cos’è un certificato SSL

Internet ha indubbiamente cambiato le nostre vite in meglio: dallo smartworking ai social, dalle enciclopedie open source ai programmi on demand. Purtroppo navigare sul web non comporta soltanto vantaggi, ma anche altrettanti rischi.

Basti pensare all’incessante attività degli hacker, costantemente alla ricerca di nuovi escamotage per le loro attività illecite.

A volte questi trucchetti consistono nel creano siti web fraudolenti che emulano portali istituzionali di enti e aziende allo scopo di estorcere dati sensibili di utenti spesso del tutto ignari della frode.

Anche pagine web all’apparenza affidabili possono celare qualche isidia: se ad esempio il collegamento tra l’utente e il server del sito non è sufficientemente sicuro, è possibile che terzi accedano al flusso di dati.

Un Certificato SSL è dunque un certificato digitale che attesta l’identità di un portale web associando univocamente una porta d’accesso a un soggetto (nelle vesti di organizzazione o persona fisica) e consentendo di instaurare una connessione crittografata.

Aziende e organizzazioni, dunque, dovrebbero assolutamente utilizzare un Certificato SSL nei propri siti per proteggere le transazioni online e per garantire la sicurezza e la riservatezza delle informazioni dei clienti.

Analizziamone ora nel dettaglio le caratteristiche.

Sommario degli argomenti

Che cos’è un certificato SSL?
Perché è necessario un certificato SSL
Per quanto tempo è valido un certificato?
Certificato SSL: come funziona?
Quali tipi di certificati SSL esistono?
È obbligatorio avere un certificato SSL?
Costi: SSL gratuito e a pagamento

Certificato SSL, tutte le caratteristiche distintive

SSL è l’acronimo di Secure Socket Layer, un protocollo che consente la trasmissione di informazioni in modo criptato e sicuro.

Con un Certificato SSL, quindi, è possibile proteggere i dati degli utenti del proprio sito web impedendo ad altri di intercettare e leggere le informazioni trasferite.

Esso protegge le connessioni a Internet e impedisce ai cyber criminali di leggere o modificare le informazioni scambiate fra due sistemi.

Ma come riconoscere se il sito web che si sta navigando è protetto da un Certificato SSL? La risposta è presto detta: se accanto all’URL nella barra degli indirizzi è visualizzata l’icona di un lucchetto, significa che è coperto da certificato digitale.

Per visualizzarne i dettagli è sufficiente cliccare su tale icona per avere informazioni inerenti:

il nome del dominio a cui è stato rilasciato il certificato;
la persona, l’organizzazione o il dispositivo a cui è stato rilasciato;
l’Autorità di certificazione emittente e la sua firma digitale;
la data di emissione del certificato;
la data di scadenza del certificato;
la chiave pubblica.

Dalla sua introduzione, circa 25 anni fa, sono state rilasciate diverse versioni del protocollo, che però hanno sempre portato a galla falle nella sicurezza. Successivamente è stata introdotta una versione riprogettata, denominata TLS (Transport Layer Security).

Quest’ultima è quella effettivamente utilizzata nei siti web odierni, tuttavia il vecchio acronimo SSL è rimasto tale, sebbene la tecnologia impiegata sia progredita.

Un’azienda che volesse dotare il proprio sito web di Certificato SSL dovrebbe acquistarlo presso uno degli enti preposti, denominati Autorità di Certificazione. Per essere riconosciuta tale, però, è necessario che essa venga sottoposta al vaglia, tra gli altri, di Microsoft, Motzilla o Google che, in qualità di possessori dei browser, hanno pieno diritto di veto.

In altre parole, nel momento in cui Google dovesse disconoscere la validità di un determinato produttore di software, Chrome non ne accetterebbe più i certificati.

Perché è necessario un certificato SSL

L’impiego di un Certificato SSL si traduce in molteplici benefici, tra cui:

protezione dei dati degli utenti,
verifica delle proprietà del sito web,
impossibilità di creare una versione fittizia del sito
conquista della fiducia degli utenti.

Quando un sito web è protetto da un Certificato SSL, il suo URL è preceduto dal prefisso HTTPS (HyperText Transfer Protocol Secure).

HTTPS è la forma sicura di HTTP, poiché il traffico dei siti web HTTPS è crittografato tramite SSL.

La maggior parte dei browser classifica i siti HTTP (quelli privi di certificato SSL) come “non sicuri“. Questo indica chiaramente agli utenti che il sito non può essere considerato affidabile e spinge le aziende che non lo hanno ancora fatto a passare ad HTTPS.

Un Certificato SSL consente di proteggere informazioni quali:

Credenziali di accesso
Transazioni con carta di credito o informazioni sui conti bancari
Informazioni personali, come nome completo, indirizzo, data di nascita o numero di telefono
Documenti legali e contratti
Cartelle mediche
Informazioni proprietarie.

Per quanto tempo è valido un certificato SSL?

Ogni Certificato SSL ha la propria data di scadenza, che si attesta tra i 3 e i 24 mesi.

Una volta terminato il periodo di validità, se non si vuole correre il rischio che il portale venga declassato a sito non sicuro, si rende necessario un tempestivo rinnovo della licenza di sicurezza.

Anche se questo può apparire dispendioso sia in termini di tempo che di costi, il suo ROI (Return on Investment) è nettamente superiore, poiché preserva da tutte le complicazioni e i relativi costi che potrebbe comportare il suo mancato adempimento.

Certificato SSL: come funziona?

Il Certificato SSL si assicura che tutti i flusso di dati fra gli utenti e i siti web, o fra due sistemi, sia impossibile da interpretare. Il certificato utilizza algoritmi di crittografia allo scopo di rendere irriconoscibili i dati in transito, per impedire agli hacker di leggerli mentre vengono trasmessi sulla connessione.

Il processo segue essenzialmente queste dinamiche:

un browser o un server tenta di connettersi a un sito web protetto con SSL.
Il browser/server richiede che il server web si identifichi;
il server web invia al browser/server una copia del proprio certificato SSL;
il browser/server verifica se può fidarsi o meno del certificato SSL. In caso positivo, invia un messaggio al server web;
il server web restituisce una conferma con firma digitale per avviare una sessione crittografata SSL;
i dati crittografati vengono condivisi tra il browser/server e il server web.

Tale procedura, pur sembrando lunga e complicata, in realtà non richiede che pochi millisecondi.

Quali tipi di certificati SSL esistono?

Contrariamente a quanto si potrebbe pensare, esistono svariate tipologie di certificazione e ognuna garantisce un livello di sicurezza diverso.

Principalmente se ne individuano tre: Domain Validated (DV), Organization Validated (OV) e l’Extended Validated (EV).

Il Certificato SSL Domain Validated (DV) e il più economico e veloce da ottenere perché non richiede una verifica approfondita: l’ente certificatore verificherà soltanto che il richiedente sia effettivamente il proprietario del dominio;
Il certificato SSL Organization Validated (OV) richiede un periodo di attesa più lungo perché viene rilasciato dopo un’attenta analisi della società richiedente. È il certificato migliore per aziende e piccoli siti di e-commerce per garantire agli utenti transazioni sicure;
Il certificato SSL Extended Validated (EV) è in grado di garantire la massima sicurezza sull’identità del sito e sull’affidabilità dell’azienda. Chi ha scelto questo tipo di certificato è facilmente riconoscibile dalla presenza di una barra verde contenente il nome dell’azienda richiedente. Per queste sue caratteristiche, il certificato SSL EV è la scelta migliore per i gradi siti di e-commerce e per le aziende High Brand Identity.

È obbligatorio avere un certificato SSL?

Avere un Certificato SSL è obbligatorio per tutti i siti web? La risposta è no, l’SSL non è obbligatorio ma il suo impiego è altamente consigliabile per tutta una serie di motivi.

Come abbiamo visto il protocollo SSL garantisce l’affidabilità e la sicurezza di un sito web, criptando le informazioni e le comunicazioni che si scambiano su internet. Questo è di fondamentale importanza soprattutto per i siti che vendono prodotti online. Con un certificato digitale i clienti, venendo tutelati e protetti durante le transazioni e lo scambio di dati sensibili, sono maggiormente invogliati a concludere l’acquisto.

Un altro aspetto di fondamentale importanza riguarda Google: l’utilizzo di HTTPS o SSL è utilizzato come un fattore di ranking, ossia di indicizzazione sul motore di ricerca.

Costi di acquisizione di un certificato SSL: soluzioni gratuite e a pagamento

Un fattore significativo nella categorizzazione e nella selezione di un Certificato SSL è associato al suo costo.

Se si mette in relazione questo aspetto direttamente con i tre tipi di verifica precedenti, si può dire che maggiore è il controllo della certificazione, maggiore sarà il costo del certificato.

I certificati SSL gratuiti o (Let’s Encypit), sono forniti da un’Autorità Certificata e sono creati per i siti web che non possono permettersi di acquistarne uno. Non prevedono nessuna validazione, ma fanno apparire il lucchetto immediatamente vicino all’URL. Questa tipologia può rivelarsi utile per un piccolo blog personale o per semplici siti vetrina.

I certificati SSL a pagamento (Commercial Certificate) sono i più raccomandati per e-commerce o semplicemente per siti web che prevedono l’iscrizione degli utenti. Enti Certificati si occupano di verificare la coerenza fra dominio ed azienda. Inoltre, è prevista una garanzia in caso di violazione dei dati di un utente o di transazioni in denaro.

Conclusioni

Un Certificato SSL a pagamento di tipo EV è senza dubbio la soluzione di cifratura ottimale per il vostro portale web.
Tuttavia, questo tipo di certificazione può essere ottenuto solo dalle aziende di grandi dimensioni.

In linea di principio, per i progetti web nel settore delle PMI sono sufficienti certificati più economici, purché non vengano trasmessi dati altamente sensibili, come nel caso dell’online banking.

Per i progetti più piccoli, in cui il trasferimento dei dati personali non ha un ruolo importante o ha un ruolo minore, i certificati SSL gratuiti sono una buona alternativa ai servizi a pagamento, ma occorre considerare fin dall’inizio un maggiore sforzo amministrativo volto a garantire lo stesso standard di sicurezza di una certificazione a pagamento.

Cyberment Srl

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica.
Il nostro red team è composto da hacker etici e specialisti in cybersecurity da oltre 20 anni.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001 e siamo anche azienda etica.
Abbiamo sede legale a Milano e sedi operative a Porto Mantovano, il cuore del nostro reparto ricerca e sviluppo e a Londra.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.