Close

Certificato digitale: cos’è e a cosa serve

Emesso da una Certification Authority, contiene informazioni utili per la sicurezza di pagine web, firme digitali e dispositivi IoT
Una mano tocca uno scudo digitale sospeso in aria tra colonne di codice binario.
Tempo di lettura: 5 minuti

Indice dei contenuti

*Articolo aggiornato il 10 febbraio 2023

In questo articolo spieghiamo cos’è e a cosa serve un certificato digitale. Prima di tutto, però, soprattutto per i non addetti ai lavori è opportuno sottolineare che il certificato digitale è uno strumento fondamentale per molte delle attività che svolgiamo quotidianamente.

Tutti noi, infatti, ogni giorno abbiamo a che fare con i certificati digitali, anche se quasi sempre questi incontri avvengono senza che ce ne accorgiamo. Pensiamo, ad esempio, a quando visitiamo una pagina web: nel momento in cui entriamo in connessione con tale pagina entra in gioco un certificato digitale. Il certificato garantisce che la pagina visitata è proprio quella associata all’URL digitato e non una fittizia creata e messa di traverso da un hacker intenzionato a ottenere i nostri dati.

Il certificato digitale è usato in maniera più o meno consapevole, invece, con la firma digitale. Quando firmiamo digitalmente un documento stiamo in realtà criptando quel messaggio con la nostra chiave privata. Il messaggio criptato sarà poi decriptato dal destinatario con la nostra chiave pubblica, che è nota a tutti e, quindi, anche al destinatario, anche perché contenuta nel certificato digitale che gli abbiamo inviato insieme al messaggio.

Cos’è il certificato digitale

Partendo dagli esempi riportati, possiamo quindi dire che il certificato digitale è un documento elettronico usato nei sistemi di crittografia asimmetrica (anche detta crittografia a chiave pubblica), per associare in maniera univoca l’identità di un soggetto alla chiave pubblica.

Come abbiamo visto, quando parliamo di soggetto non dobbiamo pensare soltanto a una persona fisica, ma dobbiamo fare riferimento anche a una persona giuridica, così come a un sito web o anche un dispositivo con tecnologia IoT (Internet of Things).

Come abbiamo riportato in questo articolo che spiega bene la differenza tra crittografia simmetrica e crittografia asimmetrica, nella crittografia asimmetrica a ogni entità è associata una coppia di chiavi, l’una pubblica e l’altra privata. Se vogliamo inviare un messaggio criptato a un nostro amico, dobbiamo criptarlo utilizzando la sua chiave pubblica, che noi conosciamo. Tale messaggio potrà essere letto soltanto dal nostro amico, che dovrà prima decriptarlo e per farlo utilizzerà la sua chiave privata.

Ma chi ci garantisce che la chiave pubblica che utilizziamo per criptare il messaggio sia effettivamente quella del nostro amico? Cosa ci rende sicuri che non sia stata sostituita da un hacker che si è intromesso nella nostra comunicazione? Il certificato digitale.

Ritornando alla definizione iniziale, il certificato digitale associa l’identità di un soggetto (in questo caso parliamo dell’identità del nostro amico a cui vogliamo scrivere) alla sua chiave pubblica, dandoci così la sicurezza di poter utilizzare quella chiave pubblica per spedirgli messaggi cifrati che soltanto lui – con la corrispondente chiave privata – sarà in grado di decifrare.

Come ottenere un certificato digitale

Per avere un certificato digitale bisogna rivolgersi ai prestatori di servizi fiduciari accreditati, che possono essere pubblici o privati. Un prestatore di servizi fiduciari accreditato è un’Autorità di Certificazione (in inglese Certification Authority, anche indicata con l’acronimo CA) che rappresenta una terza parte fidata, cioè un organismo deputato al rilascio dei certificati digitali e che viene riconosciuto affidabile dalle parti che ricorrono a esso per tale servizio.

Il certificato digitale viene emesso con una procedura che prevede innanzitutto una fase di richiesta da parte del soggetto. La richiesta deve essere presentata a un’Autorità di Registrazione (in inglese Registration Authority, RA), compilando un modulo di richiesta del certificato di firma (in inglese Certificate Signing Request, CSR).

Il modulo di richiesta è composto da tre parti principali:

  • dati del richiedente, compresa la sua chiave pubblica per cui deve essere emesso il certificato digitale;
  • informazioni che servono a identificare l’algoritmo di firma;
  • firma digitale del richiedente, effettuata usando la sua chiave privata.

Verificati i dati riportati nel CSR, la RA autorizza la CA a emettere il certificato digitale. La CA firma digitalmente il certificato con la sua chiave privata e lo rende pubblico, affinché tutti possano sapere della sua esistenza e del fatto che vi sia una chiave pubblica associata al soggetto richiedente il certificato.

La pubblicità dei certificati digitali è garantita dal fatto che ogni CA mantiene un registro pubblico dei certificati digitali emessi e tuttora validi.

Un certificato può essere sospeso o revocato perché, ad esempio, è avvenuta una compromissione della chiave privata oppure è cambiato un dato identificativo del soggetto. In questi casi il certificato viene rimosso dalla lista dei certificati validi e viene inserito nella lista dei certificati sospesi (Certificate Suspension List) o nella lista dei certificati revocati (Certificate Revocation List).

Quali informazioni contiene il certificato digitale

Le informazioni che i certificati digitali devono riportare sono stabilite da un protocollo che a livello internazionale ne definisce il formato e il contenuto.

Lo standard più popolare è l’ITU-T X.509, giunto alla sua terza versione v3. In base a tale standard, le informazioni riportate da un certificato digitale sono le seguenti:

  • Versione del certificato
  • Numero seriale del certificato
  • ID dell’algoritmo (algoritmo e parametri)
  • Ente che ha emesso il certificato
  • Periodo di validità del certificato (espresso come intervallo di tempo compreso tra un “non prima” e un “non dopo”)
  • Nome del soggetto
  • Informazioni sulla chiave pubblica del soggetto (algoritmo, parametri e chiave pubblica)
  • Codice identificativo univoco dell’ente emittente
  • Codice identificativo univoco del soggetto
  • Estensioni che può avere il certificato
  • Algoritmo di firma del certificato
  • Parametri di firma
  • Firma del certificato

Sebbene difficilmente sentirete parlare di standard X.509, molto probabilmente vi imbatterete nelle estensione utilizzate per i file contenenti certificati X.509, le più comuni sono:

 .CER – certificato codificato con DER, a volte sequenze di certificati;

› .DER – certificato codificato con DER;

› .PEM – certificato codificato con Base64, un file .PEM può contenere certificati o chiavi private;

› .P12 – PKCS#12, può contenere certificati e chiavi pubbliche e private (protette da password).

Quanto costa un certificato digitale

Il costo del certificato digitale varia in base al dispositivo che lo contiene (token USB, smartcard e lettore), ai modelli e a ciò che il singolo dispositivo consente di fare.

Considerando questi fattori, il costo di un dispositivo parte da circa 15/20 euro e può arrivare anche a diverse centinaia di euro per i prodotti che oltre alla firma offrono anche altri servizi.

Quanto dura un certificato digitale

Il certificato digitale scade dopo 3 anni dalla data di attivazione e può essere rinnovato una sola volta per ulteriori 3 anni. Il rinnovo deve essere fatto a partire da 90 giorni prima e fino al giorno precedente la scadenza.

Se il rinnovo non viene eseguito in questo lasso di tempo, una volta che il certificato digitale scade non può più essere rinnovato. In questo caso il certificato viene revocato e finisce nella lista dei certificati revocati (Certificate Revocation List o CRL).

Altre condizioni che determinano la revoca o la sospensione di un certificato sono la compromissione della chiave privata e ogni cambiamento nella relazione soggetto-chiave pubblica, ad esempio dovuto al cambiamento della mail del richiedente.

Certificato di sottoscrizione e di autenticazione

  • Un certificato di sottoscrizione è usato per definire la corrispondenza tra il soggetto richiedente il certificato e la sua chiave pubblica. Questi certificati sono usati per l’apposizione di firme digitali a valenza legale.
  • Un certificato di autenticazione è principalmente usato per l’accesso ai siti web che implementano l’autenticazione a mezzo certificato, oppure per firmare messaggi di posta elettronica allo scopo di garantire l’identità del mittente. A un certificato digitale di autenticazione è di solito associato in modo univoco un indirizzo di posta elettronica.

Come avere un certificato digitale online

Per avere il proprio certificato di firma digitale online in pochi minuti basta rivolgersi a uno dei prestatori di servizi fiduciari accreditati che offrono il servizio di firma digitale remota.

Se, invece, ti stai chiedendo come si può avere un certificato digitale anagrafico online, può esserti utile leggere questo articolo in cui parliamo dell’ANPR Anagrafe Nazionale della Popolazione Residente.

Certificato digitale gratis

È possibile ottenere un certificato digitale gratuito quando questo certificato serve a criptare la comunicazione di un sito web.

Il rilascio di certificati digitali gratuito per i siti web viene fatto da Let’s Encrypt, una Certification Authority (CA) non profit con sede a San Francisco. Let’s Encrypt rilascia gratuitamente solo certificati SSL/TLS cosiddetti Domain Validated, utilizzabili appunto per abilitare connessioni sicure di tipo HTTPS.

I certificati emessi da Let’s Encrypt hanno una durata di 90 giorni, ma possono essere rinnovati facilmente con una procedura online.

TAG