Certificato SSL: cos’è e a che cosa serve
Una delle componenti più importanti del business online è la creazione di un ambiente di fiducia in cui i potenziali clienti si sentano sicuri di fare acquisti. Al fine di proteggere il proprio sito web e i dati dei clienti dagli hacker, le aziende devono investire in tecnologie che garantiscano operazioni online sicure. Tra queste, il certificato SSL è un must, perché autentica l’identità del sito web e mette al sicuro i dati trasmessi sul web.
Che cos’è un certificato SSL per sito web? La sigla SSL è l’acronimo di Secure Sockets Layer, una tecnologia di sicurezza informatica che consente la comunicazione crittografata tra un sito web e un browser. Tale tecnologia è usata sia dalle aziende che dai privati per ridurre il rischio di furto o manomissione di informazioni sensibili (come numeri di carte di pagamento, nomi utente, e-mail) da parte di cyber criminali, garantendo una conversazione privata tra le due parti interessate.
Il gestore di un eCommerce, ad esempio, deve installare un certificato SSL per rendere il sito web della propria azienda conforme al GDPR poiché raccoglie informazioni sensibili, come i dati delle carte di credito dei clienti.
Quando un sito web è protetto da un certificato SSL, il suo URL è preceduto dal prefisso HTTPS (HyperText Transfer Protocol Secure) e inoltre accanto all’URL, nella barra degli indirizzi appare l’icona di un lucchetto. Se il sito web non ha un certificato digitale, il suo URL inizierà con HTTP (HyperText Transfer Protocol), senza la S di Secure.
Quali informazioni contengono i certificati SSL?
I certificati SSL includono le diverse informazioni in un unico file di dati e per visualizzare i dettagli è sufficiente cliccare sulla già citata icona del lucchetto nella barra degli indirizzi del browser.
I dettagli del certificato SSL solitamente includono:
- Il nome del dominio per cui è stato emesso il certificato;
- La persona, l’organizzazione o il dispositivo a cui è stato rilasciato;
- Quale autorità di certificazione lo ha rilasciato;
- La firma digitale dell’autorità di certificazione;
- I sottodomini associati;
- La data di emissione del certificato;
- La data di scadenza del certificato;
- La chiave pubblica (la chiave privata viene tenuta segreta).
Come funzionano i certificati SSL?
I certificati SSL consentono una connessione sicura tra l’utente e il server. Quando un sito web ne possiede uno, stabilisce un canale crittografato da utilizzare per l’invio di dati su Internet tra due sistemi (un sito web e il browser). Questa connessione crittografata garantisce che tutti i dati trasmessi rimangano privati e sicuri.
Il processo alla base del funzionamento dei certificati digitali si chiama handshake SSL, richiede solo pochi millisecondi e si svolge come segue:
- Un browser o un server tenta di connettersi a un sito web protetto con SSL;
- Il browser o il server chiede al server web di identificarsi;
- Il server web risponde inviando al browser o al server una copia del suo certificato SSL;
- Il browser o il server verifica se il certificato SSL è affidabile. Se lo è, lo comunica al server web che a sua volta risponde con una conferma firmata digitalmente per iniziare una sessione SSL crittografata;
- I dati crittografati vengono condivisi fra il browser o il sito web.
Come ottenere un certificato SSL?
Il Certificato SSL viene rilasciato solo da un ente accreditato, chiamato anche Certification Authority (CA) e, a seconda del livello di sicurezza richiesto, può essere gratuito o a pagamento. Anche il tempo per ottenerlo dipende dal tipo di certificato e varia da poche ore a diversi giorni.
In base al tipo di dati raccolti e al livello di sicurezza necessario, le aziende devono decidere quale tipo di certificato digitale è appropriato per il loro sito web:
- Certificati a convalida estesa (EV SSL): questi certificati offrono il massimo livello di sicurezza e sono tipicamente utilizzati dalle grandi aziende che devono proteggere i dati sensibili dei clienti;
- Certificati con convalida dell’organizzazione (OV SSL): questi certificati sono utilizzati per la sicurezza di medio livello e sono ideali per le medie e piccole imprese;
- Certificati con convalida del dominio (DV SSL): questi certificati offrono una sicurezza di base e sono ideali per i siti che non richiedono una protezione estesa;
- Certificati SSL con caratteri jolly: questi certificati vengono utilizzati per proteggere un dominio di base e più sottodomini contemporaneamente;
- Certificati SSL multidominio (MDC): questi certificati vengono utilizzati per proteggere più domini e/o sottodomini;
- Certificati Unified Communications Certificate (UCC): sono considerati certificati SSL multidominio e in principio sono stati concepiti per proteggere i server Microsoft Exchange.