Per visitare una pagina Web, tutto ciò che devi fare è cliccare su un link o digitare un indirizzo: tutte le informazioni, i dati e i file appariranno sullo schermo. La tecnologia che rende tutto ciò possibile dietro le quinte è piuttosto complessa. Il caricamento di una pagina può essere paragonabile a una conversazione tra il tuo computer (il browser) e il computer in cui è memorizzato il sito Web (il server Web). Il certificato SSL garantisce che questa conversazione sia sicura e crittografata. Continua a leggere per scoprire come funziona un certificato SSL, perché è così importante per i dati sensibili e come puoi sapere se visitare un sito Web è sicuro. Scopri anche come Avira Free Security rende la navigazione ancora più sicura.
Guida facile ai certificati SSL
Il certificato SSL (Secure Sockets Layer) è un piccolo file che gli operatori di siti Web caricano e configurano nel loro server. Se impostato correttamente, il file consente una comunicazione sicura e crittografata tra il browser Internet dell’utente (client) e il server Web. L’icona del lucchetto nella barra degli indirizzi del browser indica se la pagina che stai visitando dispone di un certificato SSL valido.
È importante sapere che SSL è stato ormai ampiamente sostituito da TLS (Transport Layer Security) che, come successore di SSL, offre funzionalità di sicurezza migliorate. Sebbene i termini certificato SSL e certificato TLS siano spesso utilizzati in modo intercambiabile, TLS si riferisce alla versione più recente della tecnologia.
L’indirizzo Web mostra anche se la connessione è sicura. Per i siti Web crittografati, a http (Hypertext Transfer Protocol) viene aggiunta una “s” per ottenere https. La “s” sta per “sicuro” e indica che la comunicazione è protetta. Se visiti una pagina con il protocollo HTTPS puoi essere sicuro che le tue informazioni siano protette perché viene visualizzato il messaggio “La connessione è sicura”.
Soprattutto per l’accesso ai tuoi account utente, è fondamentale che i dati di accesso vengano trasmessi in forma crittografata. È così più difficile per terze parti non autorizzate intercettare dati sensibili, perché con la crittografia SSL non vengono trasmessi come testo normale. Questo è il motivo per cui un certificato SSL/TLS valido è essenziale per l’online banking e sui portali sanitari e assicurativi.
Quando è necessario un certificato SSL?
Gli utenti di Internet, i negozi di e-commerce e i gestori di siti Web traggono tutti vantaggio dai certificati SSL in egual misura, anche se su livelli diversi.
- Utenti di Internet: il certificato SSL è come un lucchetto digitale che offre un elevato livello di protezione per i tuoi dati e le tue informazioni personali sensibili. Tra questi rientrano i dati degli account e degli utenti, le password e le transazioni finanziarie.
- Negozi: la crittografia delle comunicazioni diventa particolarmente importante quando si tratta di dati finanziari e personali. I negozi che si affidano a un certificato SSL godono della fiducia dei propri clienti perché sanno che tutti i dati inviati e ricevuti sono sicuri.
- Operatori di siti Web: i siti web dotati di certificati SSL sono classificati più in alto dai motori di ricerca come Google. Google si impegna a garantire un’esperienza positiva a tutti gli utenti. Le pagine che si impegnano per la sicurezza degli utenti hanno quindi la priorità nei risultati di ricerca.
Cosa succede se non hai un certificato SSL?
Gli operatori di siti Web che non integrano un certificato SSL valido, si assumono una serie di rischi.
- Trasferimento di dati non crittografati: per la comunicazione e il trasferimento dei dati tra il browser e il sito Web viene utilizzato il testo normale. Le informazioni possono essere facilmente intercettate e utilizzate per attacchi Man-in-the-middle. Tramite lo spoofing IP è più facile per gli hacker impersonare qualcun altro e accedere a dati sensibili.
- Posizionamento su Google e motori di ricerca simili: i motori di ricerca classificano e posizionano più in alto le pagine dotate di crittografia SSL. Google ha tutto l’interesse a fornire la migliore esperienza possibile ai propri utenti e può riuscirci solo dando priorità alla sicurezza.
- Deterrente per gli utenti: in genere gli utenti ricevono un chiaro avviso dal loro browser quando provano a visitare un sito Web senza crittografia SSL. Ciò costituisce un deterrente e ha un impatto diretto sul posizionamento nei motori di ricerca che tracciano il comportamento degli utenti.
- Compatibilità con i provider di servizi di pagamento: molti servizi di elaborazione dei pagamenti richiedono un certificato SSL valido. Se manca, è impossibile effettuare transazioni.
In breve: i siti Web senza crittografia SSL offrono meno sicurezza ai visitatori e rischiano di perdere la loro fiducia. Inoltre, i motori di ricerca come Google valutano negativamente un certificato mancante, con effetti peggiorativi sul posizionamento del sito Web nei risultati di ricerca.
Quali tipi di certificati SSL esistono?
Esistono fondamentalmente tre tipi di certificato SSL: certificato di convalida estesa (EV SSL, Extended Validation Certificate), certificato convalidato dall’organizzazione (OV SSL, Organization Validated Certificate) e certificato convalidato dal dominio (DV SSL, Domain Validated Certificate).
Certificati di convalida estesa
Un certificato di convalida estesa offre il più alto standard di protezione del marchio. Gli operatori di siti Web che desiderano ottenere un certificato SSL di questo tipo sono soggetti a criteri di selezione molto rigorosi. Prima che questo certificato venga rilasciato, il richiedente deve sottoporsi a un controllo approfondito per determinare se il proprietario del dominio ha effettivamente il diritto di utilizzarlo. Grazie a questo rigoroso processo di verifica dell’identità, i visitatori del sito Web possono sempre vedere chi è il proprietario del certificato. Un certificato SSL EV offre quindi una protezione superiore e fa sì che gli utenti si sentano più sicuri nell’utilizzo del sito Web.
Certificati convalidati dall’organizzazione
Per i certificati convalidati dall’organizzazione sono previsti controlli meno stringenti, ma è richiesta comunque una verifica approfondita del richiedente. Viene verificata la legalità del nome di dominio e vengono raccolte informazioni di base sull’identità. Gli utenti possono visualizzare le informazioni del richiedente cliccando sul lucchetto SSL nella barra degli indirizzi.
Certificati convalidati dal dominio
I certificati convalidati dal dominio offrono il livello di autenticazione più basso, poiché viene controllata solo l’autorizzazione all’utilizzo del dominio. Il proprietario non viene verificato e questo significa meno scartoffie. Questa forma di certificazione viene quindi utilizzata principalmente per blog personali e piccoli siti Web.
Come funziona la crittografia?
Tutte le comunicazioni tra il server Web e il browser dell’utente vengono crittografate non appena l’operatore del sito Web installa il certificato SSL sul proprio server Web. Non è richiesta alcuna azione da parte del visitatore del sito: è sufficiente un browser internet. Analizziamo più a fondo il funzionamento della crittografia:
- È richiesta la connessione: il visitatore digita l’URL nella barra degli indirizzi, avviando la comunicazione tra il browser internet e il server Web. A questo punto, il browser invia una richiesta al server Web.
- Il server Web si autentica: una volta che il browser ha inviato la sua richiesta al server Web, il server invia un certificato digitale per l’autenticazione. Questo certificato contiene anche la chiave pubblica.
- Il certificato viene verificato: ora il browser controlla il certificato ricevuto dal server Web. Ci sono quindi due opzioni: l’utente può accedere al sito Web senza problemi oppure viene avvisato che la connessione non è sicura.
- Avviene lo scambio delle chiavi: dopo la corretta verifica del certificato, il browser crea quella che viene chiamata chiave di sessione. Questa chiave generata casualmente viene combinata con la chiave pubblica del server Web e crittografata.
- La comunicazione viene crittografata: una volta che il server Web ha decrittografato la chiave di sessione, tutti i dati inviati e ricevuti sono protetti. Eventuali terze parti non possono visualizzare questo trasferimento di dati in testo normale perché solo il server Web può decrittografare la chiave di sessione.
In breve: la presenza di varie chiavi potrebbe generare confusione. Il server Web, che fornisce anche il certificato SSL, ha una coppia di chiavi: una pubblica e una privata. Il browser crea la chiave di sessione che, con l’aiuto della chiave pubblica, diventa inaccessibile a terzi. Utilizzando la chiave privata, solo il server Web può sbloccare la chiave di sessione e decrittografare i dati crittografati, consentendo uno scambio sicuro e crittografato di dati e informazioni tra il server Web e il browser dell’utente.
Come si configura un certificato SSL?
Prima di tutto: la procedura per installare un certificato SSL varia a seconda del server Web. Ciò significa che purtroppo non esiste un approccio valido per tutti i casi. È meglio contattare direttamente il fornitore del server per ottenere istruzioni dettagliate. In sintesi, il processo può essere riassunto come segue:
- Passaggio 1 – ottenere un certificato: questo passaggio è sempre lo stesso. Prima di installare e configurare il certificato SSL nel tuo server Web, devi acquistarlo da un’autorità di certificazione ufficiale. I provider a pagamento come GlobalSign e DigiCert, così come Let’s Encrypt, noto per i suoi certificati gratuiti, sono fornitori affidabili sul mercato da anni.
- Passaggio 2 – scaricare il certificato: riceverai i seguenti file: il certificato vero e proprio (nomedominio.crt) e la chiave privata (nomedominio.key). Con questi due file, il browser dell’utente può crittografare informazioni e dati.
- Passaggio 3 – caricare il certificato nel tuo server Web: puoi ora caricare entrambi i file nel tuo server Web. Per farlo, utilizza un programma FTP o (se disponibile) direttamente l’app Web del server. Chiedi al provider i dettagli sulla cartella in cui archiviare i file.
Dopo aver caricato il certificato nel tuo server Web, devi configurarlo e abilitare il modulo SSL. Poiché ogni ambiente server ha procedure e strutture di cartelle diverse, controlla le istruzioni del tuo provider.
A proposito: i certificati SSL sono validi solo per un periodo di tempo limitato e solitamente scadono dopo un anno. Assicurati quindi di rinnovare regolarmente il certificato.
Dove posso ottenere un certificato SSL?
Gli operatori di siti Web possono ottenere il certificato SSL dalle cosiddette autorità di certificazione (CA). Queste autorità specializzate operano secondo rigorosi standard e regolamenti e rilasciano i certificati dopo aver condotto approfonditi processi di verifica per garantire che l’entità che richiede il certificato sia legittima prima di rilasciarlo.
Nella maggior parte dei casi, l’ente certificatore esaminerà la tua domanda, nonché le informazioni e la documentazione richieste. Riceverai il certificato entro pochi giorni e potrai installarlo e configurarlo nel tuo server Web.
Quali sono le qualità che rendono un’autorità di certificazione affidabile e degna di fiducia?
Esistono alcuni indicatori dell’affidabilità e del riconoscimento di un’autorità di certificazione, tra cui:
- Controlli: se un’autorità di certificazione si sottopone a controlli periodici condotti da aziende come WebTrust, è segno che mantiene standard elevati e rispetta le normative più recenti.
- Associazioni: le CA più affidabili sono membri di forum dedicati, come Certification Authority Browser Forum.
- CP/CPS: gli enti di certificazione pubblicano sui propri siti Web una CP (Certificate Policy) e una CPS (Certification Practice Statement). Queste sono le linee guida e le politiche stabilite dall’ente di certificazione. Ciò consente a terze parti di controllare direttamente a quale standard sono soggetti i certificati.
- Compatibilità con le versioni precedenti: i migliori certificati SSL dovrebbero essere compatibili con le versioni precedenti dei browser. Maggiore è il numero delle versioni supportate, migliore sarà la reputazione dell’autorità di certificazione.
Livelli di sicurezza ancora più alti con Avira Free Security
Se visiti un sito Web che, grazie al certificato SSL, mostra una piccola icona a forma di lucchetto accanto alla barra degli indirizzi (HTTPS), la connessione a quel sito Web è sicura e sei già ben protetto. Anche se è auspicabile che i siti Web offrano comunicazioni crittografate, molti ancora non lo fanno. Devi anche rimanere in allerta per altri pericoli come e-mail di phishing, file allegati dannosi o reti Wi-Fi pubbliche.
Con Avira Free Security puoi aggiungere un ulteriore livello di protezione e complicare la vita ai criminali informatici. Questa soluzione completa ti offre una protezione in tempo reale su cui puoi contare contro il malware. Inoltre, lo strumento ti avvisa se hai password deboli e programmi obsoleti nel tuo dispositivo. E non è tutto: grazie alla VPN integrata puoi navigare in modo più anonimo e utilizzare gli hotspot Wi-Fi pubblici in maggiore sicurezza. Hai anche la possibilità di accedere a contenuti multimediali con restrizioni geografiche da qualsiasi luogo, il che significa poter vedere contenuti normalmente disponibili solo in determinate zone.
Questo articolo è disponibile anche in: IngleseTedescoFrancese