Forse ne avrai visto già qualcuno senza sapere cos’è e a cosa serve.
SSL o Secure Sockets Layer è un protocollo utilizzato per assicurare le comunicazione tra un server web e un client server.
Sostanzialmente il certificato protegge i dati riservati e sensibili (numeri di carta di credito, codice fiscale, numero di telefono e altro), evita che vengano intercettati da terzi e garantisce su l’affidabilità e l’esistenza di un soggetto.
Quando si verifica la prima comunicazione tra client server e server web, quest’ultimo invia il proprio certificato digitale al browser di riferimento che ne verifica validità e sicurezza della connessione.
Il certificato SSL certifica che le informazioni passate siano state criptate e rese decifrabili solo al momento della connessione dei soggetti coinvolti in possesso della chiave di decodifica, l’unico strumento in grado di decriptare le informazioni.
Capire se un sito web è in possesso di un certificato SSL è semplice. Se sulla barra di navigazione compare la dicitura “HTTPS” invece di “HTTP” prima dell’indirizzo e spunta l’immagine di un lucchetto, allora tutte le comunicazioni con quel sito saranno protette e riservate.
Un esempio perfetto è la casella di posta elettronica Gmail. Forse non l’hai notato prima d’ora ma il lucchetto e la dicitura https:// che vedi garantiscono che l’organizzazione con cui stai comunicando attraverso il browser è seria e affidabile.
I protocolli SSL diventano garanzia di autenticazione del dominio del sito, reale identità della realtà aziendale collegata e protezione da frodi e furti, requisiti fondamentali in particolare per i siti e-commerce che consentono di acquistare mediante pagamenti online e i siti che erogano servizi online che ‘vivono’ dello scambio di informazioni private. L’obiettivo resta quello di accrescere la sicurezza e l’affidabilità del sito web.
Installare un certificato SSL significa escludere l’interposizione fraudolenta nelle comunicazioni tra il server web e il client server: il soggetto che tenta di porsi nel mezzo dello scambio non possiede il corrispondente certificato per accedere alle informazioni.
I certificati SSL vengono rilasciati da un’Autorità di Certificazione (CA o Certification Authority) o da rivenditori riconosciuti (Aruba e Trust Italia per esempio): acquisiscono tutti i dati necessari per verificare la reale esistenza del soggetto che richiede ed emettono un certificato SSL firmato con un sistema di crittografia a chiave asimmetrica pubblica e privata.
Le attività svolte dagli enti certificatori implicano dei costi logistici che finiscono per riversarsi anche su chi acquista un certificato. Purtroppo i certificati SSL auto-firmati o self-signed gratis non rappresentano una valida garanzia di sicurezza. Questi certificati gratuiti servono per lo più per testare il sistema, in quanto pur essendo capaci di crittografare il traffico HTTP, obbligano i browser a mostrare un avviso di “sito non attendibile”.
Se per richiedere un certificato SSL servono solo pochi minuti proprio come qualsiasi altro prodotto, non si può dire altrettanto della fase di valutazione e scelta.
La varietà di certificati è davvero vasta e ogni tipo riserva un’offerta diversa legata a prezzi differenti:
- Certificato SSL DV (Domain Validation) – Il protocollo con la sola validazione del dominio non prevede l’invio di una documentazione sull’azienda e quindi viene emesso in tempi molto rapidi.
- Certificati SSL OV (Organization Validation) – Il protocollo rivela un’autenticazione a livello superiore. La validazione riguarda tanto il dominio quanto l’azienda e il brand, aumentando così la sicurezza della connessione tra browser e server. Questo tipo di certificato è perfetto per proteggere gli utenti da attacchi di tipo phishing e furti d’identità.
- Certificato SSL EV (Extended Validated) – Si tratta di un certificato che richiede un processo di validazione più articolato e avanzato. La procedura di rilascio prevede la verifica dell’intera organizzazione, dall’esistenza fisica, legale e operativa all’identità ai diritti dell’impresa richiedente. Molti certificati EV permettono di incorporare il nome dell’azienda nella barra degli indirizzi del sito, colorare la barra degli indirizzi del browser di verde e ricreare un alto livello di affidabilità e sicurezza del sito.
- Certificato SSL SD (Single Domain) – Il protocollo vale solo per il dominio principale del sito indicato in fase di attivazione. I tempi ridotti di rilascio e il limite di validità riduce i relativi costi, almeno rispetto agli altri tipi di certificati SSL.
- Certificato SSL DVW (Domain Validated Wildcard) – Questo tipo di protocollo è ideale per proteggere un numero illimitato di sottodomini di terzo livello del sito principale (es. siti web in cui i clienti effettuano transazioni e programmi di posta elettronica che comunicano regolarmente con un altro computer o programma). In questo caso le aziende certificatrici procedono con una verifica breve dell’identità del richiedente (nome a dominio, dati del proprietario, email di verifica inviata al contatto amministrativo e altro) e con il rilascio del certificato.
- Certificato SSL UC (Unified CommunicationsCertificate) – Questo certificato, conosciuto anche come SAN (Subject Alternative Names), viene utilizzato per le comunicazione unificate ovvero protegge domini anche completamente diversi sotto un solo certificato (es. server di posta che si servono di diversi domini o applicazione virtual hosting). La compatibilità dei certificati SSL SAN con i browser su dispositivi mobili (smartphone, PDA e Blackberry) scongiura l’avviso di “connessione non sicura” su tutte le piattaforme di navigazione.
Concludendo
Spero che questo articolo ti abbia dato maggiori informazioni su come scegliere il certificato ssl che fa al caso tuo. Se stai valutando di acquistare un certificato SSL per ragioni legate al posizionamento seo del tuo sito, vorrei rassicurarti sul fatto che potrebbe non essere necessario. Ti consiglio la lettura di questo articolo
“Certificati SSL e SEO: la sicurezza del tuo sito diventa un fattore seo” che ti aiuterà a valutare e a prendere la decisione giusta.
Se hai bisogno di aiuto per l’installazione del certificato ssl rivolgiti a noi con fiducia.
[1] Redazione, www.register.it/ssl-certificates/
[2] Valentino Gagliardi, www.servermanaged.it/certificati-ssl/i-certificati-ssl-spiegati-al-mio-criceto/
[3] Giovanni Barbieti www.blog.artera.it/hosting-domini/certificato-ssl-tipologie
[5] Redazione, www.mvmnet.com/it/ssl/help/tipologie_di_validazione.php
[6] Redazione, www.hostingtalk.it/certificato-ssl-ev-quando-acquistarlo/
[8] The web security consultants, www.ssl247.it/certificati-ssl/categoria