Cos’è la certificazione SSL?
La certificazione SSL è un protocollo di sicurezza che riguarda la navigazione sul Web e assicura con maggiore efficacia l’impossibilità da parte di malfattori della rete di rintracciare, rubare o copiare dati sensibili come password d’accesso per i propri account, codici di sicurezza della propria carta di credito e così via.
Con la diffusione massiccia delle informazioni attraverso la rete è sempre più frequente per qualsiasi malintenzionato avere a propria disposizione strumenti per l’acquisizione illegale di dati, ma parallelamente aumenta anche il livello di sicurezza delle aziende, soprattutto quelle che mirano ad offrire tramite il loro dominio un passaggio sicuro per le proprie transazioni online, che implicano lo scambio di dati riservati.
La certificazione SSL offerta da Symantec è un servizio di sicurezza che permette l’autenticazione dell’identità del sito Web, contro possibili contraffazioni di dominio, e contemporaneamente crittografa tutte le informazioni che vengono implicate negli scambi tra pagina e utente, inclusi i cookie.
Il vecchio sistema di sicurezza SSL viene oggi definito “SSL intermittente”, protegge principalmente le pagine di accesso e di transazioni ma sono vulnerabili a nuove minacce come sidejacking e SSLStrip, che approfittano delle aree sprovviste di certificazione per ricavare i dati interessati.
La nuova certificazione, chiamata Always on SSL, mira alla protezione totale delle aree del dominio, proteggendo l’intera sessione di navigazione dell’utente. La protezione su tutto il sito viene garantita dalla presenza del nuovo prefisso HTTPS (che ha sostituito il vecchio http) nella barra dell’indirizzo del proprio browser, che deve rimanere per l’intera permanenza sul sito.
I vantaggi di una migliore sicurezza sono collegati ad una maggiore fiducia nella propria offerta da parte dell’utenza, una maggiore reputazione per quanto riguarda la protezione dei propri clienti, oltre che una facilitata possibilità di accesso e fruizione: Google infatti dota di un ranking SEO più alto quei siti Web che implementano il sistema HTTPS in tutte le loro pagine, molti browser (un esempio tra tutti, Google Chrome) generano inoltre avvisi di sicurezza che limitano l’accesso all’utente quando si passa da una pagina protetta ad una non protetta, non impedendo ma di fatto conducendo l’utente verso pagine più sicure.
Una volta acquistata la certificazione che Symantec emette, sarà essa stessa a fornire tutte le indicazioni utili per l’implementazione totale, anche se rimane un ottimo promemoria assicurarsi di non lasciare zone del proprio dominio non crittografate, che danneggino ranking e performance. Le pagine inoltre andranno reindirizzate al nuovo dominio che comprende l’HTTPS.
I passaggi della sicurezza, ovvero come ottenere un certificato
I passaggi che prevede il rilascio della certificazione SSL da parte di Symantec sono mirati a verificare la veridicità e l’esistenza fisica dell’organizzazione, in modo da non fornire il protocollo di sicurezza a domini fasulli. Questi di seguito sono tipiche prassi che le aziende di sicurezza effettuano prima di rilasciare un certificato, utilizzate anche da Symantec:
Il primo passo è la verifica dell’organizzazione, che viene operata tramite controlli di errori ortografici nella denominazione, nella registrazione, contattando la Camera di commercio o un ente equivalente.
Si passa quindi alla verifica del periodo di esistenza dell’organizzazione: solitamente essa deve essere attiva da almeno tre anni, ma in casi di periodi di attività inferiori può essere richiesta ulteriore documentazione.
Una volta confermata l’esistenza e l’attività, si passa alla verifica fisica dell’organizzazione (vengono accettati solo indirizzi reali, che attestano un’esistenza fisica dell’organizzazione, dei suoi dipendenti ecc. non vengono accettati indirizzi di caselle postali, cassette di sicurezza o indirizzi C/O) e successivamente una verifica del numero telefonico dell’organizzazione che viene individuato tramite ricerca in elenchi telefonici pubblici.
I passaggi di sicurezza per una corretta autenticazione non sono ancora terminati: anche il nome del dominio viene verificato tramite una ricerca WHOIS, quindi si passa alla verifica del contatto attraverso il quale l’organizzazione richiede il certificato e le sue autorizzazioni a poterlo ottenere per il nome dell’azienda (i certificati non sono mai rilasciati a personale esterno l’organizzazione o con contratto temporaneo). Il contatto organizzativo viene ulteriormente accertato tramite una telefonata privata, o se non reperibile tramite messaggio in segreteria o, in alternativa, e-mail dove è indicato come completare la verifica finale.
L’ultimo passaggio è quello immediatamente successivo a tutti gli accertamenti di sicurezza: la compilazione e la sottoscrizione online del contratto grazie al quale verrà finalmente rilasciato il certificato di sicurezza. Tutte le istruzioni per la compilazione vengono fornite passo dopo passo, ma solo in caso di impossibilità di accesso al Web può essere fatta richiesta di un modulo scritto.
Livelli di convalida di un certificato SSL
Esistono differenti livelli di convalida per un certificato di sicurezza Symantec, i quali prevedono differenti spese e differenti velocità di sottoscrizione.
Il livello che prevede certificati più economici e veloci sono quelli di dominio.
La verifica viene fatta tramite e-mail all’indirizzo correlato del dominio, ma questo metodo non garantisce la legittimità del proprietario del dominio. I certificati a livello di dominio sono utilizzati principalmente in siti di piccole dimensioni dove la validazione non è così importante, oppure per intranet. Le indicazioni visive per gli utenti (l’HTTPS nella barra dell’indirizzo) vengono comunque rispettate.
Il livello di convalida successivo viene definito Organization Validation, cioè convalida dell’azienda. Per questo livello di convalida l’organizzazione richiedente viene controllata, in alcuni casi attraverso i metodi descritti precedentemente, in altri tramite l’incrocio di informazioni da diverse fonti: il WHOIS, il registro locale delle imprese e così via.
Questo tipo di certificato riconosce di fatto la validità della società, e viene utilizzato in siti nei quali avvengono scambi commerciali tra gli utenti (affari, vendite, pagamenti). Al dettaglio visivo dell’HTTPS viene aggiunto anche un lucchetto, i dettagli della società sono inoltre incorporati nel certificato e visibili nella barra indirizzi del browser. Questo certificato mira ovviamente ad aumentare la fiducia dell’utenza nella propria azienda.
L’ultimo livello di convalida dei Certificati SSL di Symantec sta diventando sempre più popolare: si tratta dell’Extended Validation. Grazie al continuo rapporto di fiducia tra fornitori di certificati e browser, le pagine Web certificate tramite Extended Validation godono di ulteriori dettagli visivi, colori diversi nella barra degli indirizzi con un punto culminante verde e nome dell’Azienda direttamente nella barra.
Le verifiche di sicurezza sono in parte simili al livello Organization, ma una volta confermati i dati d’azienda vengono verificati anche i dettagli del contatto richiedente, tramite ricerche telefoniche, verifiche con il dipartimento delle risorse umane dell’azienda richiedente, ulteriori dettagli di contatto che vengono indagati e per questo richiedono tempi di consegna più lunghi rispetto ai precedenti certificati il periodo di consegna, in media, va dai 5 ai 10 giorni lavorativi.
L’utente finale potrà accertarsi del grado di sicurezza tramite i metodi precedenti, HTTPS e lucchetto, ma in più vedrà un’evidenziazione in verde e il nome dell’azienda nella barra degli indirizzi. Questo certificato è stato soggetto di studi che hanno notato un significativo incremento dei benefici economici per quanto riguarda i siti commerciali, dovuti principalmente all’incremento di fiducia da parte dell’utenza: grazie a questo, i costi di un certificato EV possono rientrare velocemente e generare anche un ulteriore aumento delle entrate.