Close

Ciclo di vita di un certificato digitale

Come ottenere, sospendere o revocare un certificato digitale?
Donna con tablet e matita e diversi lucchetti disegnati per indicare il ciclo di vita del certificato digitale.
Tempo di lettura: 3 minuti

Indice dei contenuti

(Ultimo aggiornamento: Luglio 2020)

In un articolo precedente abbiamo visto cosa sono i certificati digitali e come riescono a garantire che un soggetto, sia esso un server o una persona, sia effettivamente chi e cosa dichiara di essere, proteggendo i dati scambiati attraverso la crittografia a chiave asimmetrica. In questo articolo vediamo qual è il ciclo di vita di un certificato digitale.

Richiesta e registrazione di chi richiede il certificato

Il certificato digitale è emesso da un Prestatore di Servizi Fiduciari Qualificati (indicato anche con l’acronimo QTSP, dall’inglese Qualified Trust Service Provider). Un QTSP è una terza parte fidata che svolge il ruolo di garante di chi utilizza il certificato. Il QTSP garantisce la validità delle informazioni riportate nel certificato, allo stesso modo in cui gli enti pubblici come il Comune o la Questura garantiscono la validità delle informazioni contenute nei documenti di identità che rilasciano (rispettivamente, carta d’identità e passaporto).

Tra le principali funzioni di un Prestatore di Servizi Fiduciari Qualificati abbiamo:

› autenticazione dell’identità dei richiedenti;

› validazione delle richieste di certificati;

› emissione dei certificati;

› manutenzione del registro delle chiavi pubbliche;

› revoca o sospensione di un certificato.

L’emissione di un certificato digitale è preceduta da una prima fase di richiesta e registrazione del richiedente. Per la registrazione il QTSP può avvalersi di uffici di registrazione (RA Registration Authority) che a sua volta si avvale di personale adeguatamente addestrato e qualificato (i RAO Registration Authority Officer), per l’identificazione dei richiedenti e la registrazione dei dati.

Emissione di un certificato digitale

Dopo la registrazione del richiedente da parte del RAO, si ha l’emissione del certificato digitale. In questa fase si ha la generazione delle coppie di chiavi all’interno del dispositivo di sicurezza. Questa riguarda:

1. le chiavi di certificazione, cioè le chiavi usate dall’Ente Certificatore per firmare elettronicamente i certificati rilasciati ai richiedenti e le liste di revoca e sospensione dei certificati;

2. le chiavi del titolare, vale a dire una coppia di chiavi di firma asimmetriche, attribuite dall’Ente Certificatore al richiedente.

In questa fase di emissione, la coppia di chiavi è associata in modo univoco al richiedente. A fase ultimata, il titolare riceve il dispositivo sicuro (smart card o token) su cui è stato caricato il certificato richiesto, insieme a una busta cieca contenente il PIN del dispositivo.

Un certificato emesso da un Prestatore di Servizi Fiduciari Qualificati tipicamente contiene:

  • dati del titolare: informazioni anagrafiche in caso di persona fisica; indirizzo web e nome della società titolare del dominio nel caso di un sito web;
  • chiave pubblica del titolare
  • data di scadenza della chiave pubblica;
  • nome e firma digitale del QTSP che ha emesso il certificato.

Il certificato digitale ha una durata di 3 anni, rinnovabile alla scadenza.

Qual è la funzione dei certificati digitali

I certificati digitali rappresentano la garanzia della corrispondenza tra una coppia di chiavi asimmetriche e una persona fisica. I certificati digitali possono essere emessi per identificare:

  • un soggetto: in questo caso il certificato permette l’accesso ai server che richiedono un’autenticazione tramite un certificato;
  • un QTSP: sono quei certificati che attestano l’identità di un’autorità di certificazione;
  • un sito internet: garantisce che il server che sta rispondendo corrisponde al dominio certificato, consentendo l’identificazione di server che utilizzano un protocollo di comunicazione sicura come ad esempio SSL. Generalmente, questo tipo di certificato viene usato per effettuare login sicuri per i siti web, invio di informazioni dei clienti, invio di informazioni di pagamento e login sicuri per le Intranet;
  • un software: tale certificato identifica il produttore di un software distribuito tramite Internet, garantendone la provenienza.
schema fasi ciclo di vita di un certificato

Sospensione e revoca di un certificato digitale

Il titolare può decidere di sospendere o revocare il proprio certificato digitale.

La sospensione è un provvedimento temporaneo che modifica la validità di un certificato e rende non valide le firme apposte durante il periodo di sospensione. La sospensione può essere chiesta al QTSP anche per un inutilizzo temporaneo del dispositivo. Terminato il periodo di sospensione, durante il quale il titolare deve conservare in un luogo sicuro il dispositivo e il relativo PIN, il certificato viene riattivato.

La revoca, invece, è un provvedimento definitivo, che può essere richiesto per motivi come: smarrimento, furto, variazione dei dati riportati nei certificati digitali, compromissione della chiave privata, guasto del dispositivo di firma.

Per entrambi i provvedimenti, è necessario rivolgersi al QTSP che ha rilasciato il certificato, che sospende o revoca il certificato digitale e lo inserisce nella Certificate Revocation List (CRL) la lista dei certificati revocati e sospesi.

TAG