Cos’è un certificato SSL?
Il certificato SSL acronimo di Secure Sockets Layer è un protocollo ideato per permettere alle applicazioni la trasmissione di informazioni in modo sicuro e protetto. Lo standard SSL è stato elaborato da Netscape, in collaborazione con Mastercard, Bank of America, MCI e Silicon Graphics. Solo a metà del 2001, il brevetto di SSL che fino ad allora era appartenuto a Netscape venne acquistato dall’IETF, l’Internet Engineering Task Force, ed è stato rinominato TLS ovvero Transport Layer Security. Alla base vi è un processo di crittografia a chiave pubblica che garantisce la sicurezza della trasmissione dei dati su internet. Il suo principio consiste nello stabilire un canale di comunicazione sicuro (cifrato) tra due terminali (un client e un server) dopo che sia avvenuta l’autenticazione.
Un certificato SSL ha il compito di proteggere determinate aree web dove vengono scambiate informazioni e dati importati e soprattutto riservati, da accessi non autorizzati. Tramite il protocollo SSL, il computer remoto sul quale si sta effettuando lo scambio di dati, viene identificato, utilizzando un sistema criptografato. Le applicazioni che si servono dei certificati SSL sono in grado di gestire l’invio e la ricezione di chiavi di protezione e di criptare/decriptare tutte le informazioni trasmesse attraverso l’uso delle chiavi stesse. L’ SSL agisce in maniera indipendente rispetto al protocollo usato, il questo gli permette di mettere in sicurezza sia le transazioni fatte sul Web tramite il protocollo HTTP sia le connessioni via protocollo FTP, POP o IMAP. Proprio per questa ragione, tra le applicazione, ne esistono alcune che sono già in grado di stabilire connessioni sicure tramite l’uso del certificato SSL, come ad esempio dei web browser come Firefox e in Internet Explorer, programmi SFTP, ovvero Secure File Transfer Protocol, o programmi per gestire la casella di posta elettronica come Outlook, MozillaThunderbird o Apple Mail App. Ciò che serve per stabilire una connessione sicura per mezzo del protocollo SSL è che l’applicazione che si è stabilito di utilizzare abbia una chiave di protezione assegnata da un’Authority preposta che la rilascerà come certificato. Inoltre, dato che, come detto prima, ormai viene supportato dalla quasi totalità di browser internet, il protocollo SSL è trasparente per l’utente, ciò significa che la messa in sicurezza dei dati cifrati avverrà in maniera automatica. Nei browser la connessione ad un sito sicuro per via dell’SSL è indicata dalla presenza di un lucchetto chiuso dall’URL che comincia con https://, dove la “s” significa ovviamente secured (sicuro ).
Esistono tre diverse tipologie di validazione
Validazione attraverso l’autenticazione del dominio SSL DV (Domain Validation):
Il processo di autenticazione verifica che il richiedente abbia i permessi di amministratore per il dominio per cui ha richiesto l’accesso. I certificati con validazione del dominio hanno le stesse caratteristiche di quelli con validazione dell’organizzazione, ma, poiché non vi è la necessità di inviare la documentazione relativa alla propria azienda, vengono emessi in tempi molto brevi.
Il video mostra come installare un certificato SSL con autenticazione del dominio (Domain Validation), precisamente il GeoTrust QuickSSL.
Validazione attraverso l’autenticazione dell’azienda SSL OV (Organization Validation):
Il processo di autenticazione dell’azienda prevede che la validazione includa la verifica dell’azienda, la verifica del dominio ed inoltre, la verifica che il contatto che ha richiesto il certificato per conto dell’azienda o dell’organizzazione sia effettivamente un dipendente dell’azienda stessa.
Autenticazione tramite estensione dell’Organizzazione SSL EV (Extended Validation):
Il processo di autentificazione tramite l’estensione della validazione o Extendend Validation è tra i processi di sicurezza più alti disponibili per un certificato SSL. Infatti, perché ciò avvenga è necessario un accordo firmato tra il contatto e l’azienda per cui verrà emesso il certificato. Ci accorgiamo se un sito sta utilizzando questo tipo di autentificazione di high- security, se vedremo la barra degli indirizzi di colore verde, la cosiddetta Green Bar. Quindi, in maniera abbastanza intuitiva ci renderemo conto se sarà il caso di effettuare una qualunque transazione, inserendo dati di carte di credito ed altre informazioni personali o dati sensibili. Se la barra ci apparirà verde, allora sarà segno che il sito è sicuro ed autenticato con l’estensione del processo di validazione. I nuovi browser ad elevata sicurezza sono moltissimi, troviamo Microsoft Internet Explorer 7+, Opera 9.5+, Firefox 3+, Google Chrome, Apple Safari 3.2+ e iPhone Safari 3.0+.
Come funziona?
Il sistema di sicurezza delle transazione via SSL si basa su uno scambio di chiavi tra client e server. La transazione sicura via SSL si sviluppa secondo un modello ben preciso. Innanzitutto, il client, dopo essersi connesso al sito commerciale ed essersi accertato che si tratta di un sito sicuro via SSL, richiede l’autenticazione. Il client invia anche la lista dei crittosistemi che supporta, smistati per ordine decrescente secondo la lunghezza delle chiavi. Una volta ricevuta la richiesta il server invia un certificato al client, in cui sarà contenuta la chiave pubblica del server, firmata da un’autorità di certificazione (CA), nonché il nome del crittosistema in cima alla lista con il quale è compatibile.
12La chiave di codificazione potrà avere una lunghezza tra 40 bit a 128 bit. Dopo che il client verifica la validità del certificato e l’autenticità del commerciante, creerà una chiave segreta aleatoria e codificherà questa chiave con la chiave pubblica del server, inviando il risultato e cioè la chiave di sessione. A questo punto, il server è capace di decifrare la chiave di sessione con la sua chiave privata. Così, le due entità sono in possesso di una chiave comune che solo essi conoscono. Il resto delle transazioni può farsi attraverso una chiave di sessione che garantisce l’integrità e la confidenzialità dei dati scambiati.
Come viene rilasciato il certificato?
La procedura per il rilascio di questi certificati viene definiti nelle “EV Guidelines” come ratificato dal CA/Browser forum nel 2007. A questo si include: la verifica dell’esistenza fisica, legale e operativa dell’azienda che richiede il certificato; la verifica che l’identità dell’azienda coincida con i dati forniti al momento della richiesta; la verifica che l’azienda abbia i diritti esclusivi di utilizzo del dominio specificato; e, in fine , la verifica che l’azienda abbia autorizzato correttamente l’emissione del certificato.