Certificati SSL: quale scegliere?

Tecnologia

Affinché una connessione sia sicura deve essere cifrata. Facile, vero? Ma da dove provengono questi certificati e qual è la differenza tra SSL e TLS? E qual è la relazione tra certificazione digitale e sicurezza?

In questo articolo cercheremo di rispondere a questa e ad altre domande; iniziamo a capire cosa significano le diciture HTTP e HTTPS, che sicuramente avrete visto nella barra degli indirizzi del vostro browser.

HTTP e HTTPS per il trasferimento dei dati

Quando un utente inserisce dei dati su un sito Internet, viene stabilito uno scambio di informazioni tra il computer e il server su cui si trova il sito. Questo processo viene gestito dal protocollo di trasferimento dati HTTP (HyperText Transfer Protocol).

Una sua estensione è l’HTTPS (HyperText Transfer Protocol Secure). Questa versione più sicura effettua il trasferimeto dei dati tra client e server impiegando un sistema di cifratura, per cui i dati scambiati sono solo leggibili da parte del client e del server, non possono accedervi terze parti (ad esempio, chi offre il servizio di connessione Wi-Fi o un amministratore).

I dati trasmessi tra client e server sono cifrati mediante un protocollo specifico. Il primo utilizzato per questo scopo è stato l’SSL (Secure Sockets Layer). Ci sono state diverse versioni del protocollo SSL, e tutte prime o poi hanno sperimentato problemi di sicurezza. Ne è seguita una versione riveduta e corretta, chiamata TLS (Transport Layer Security), in uso ancora oggi. Tuttavia, l’acronimo SSL persiste anche quando si utilizza il nuovo protocollo TLS, è solo una questione di abitudine d’uso.

Per utilizzare un protocollo di cifratura, il sito deve possedere un certificato, chiamato anche firma digitale, che confermi l’affidabilità del meccanismo impiegato e il rispetto del protocollo. Oltre alla S finale della dicitura HTTPS, un altro indicatore che confermi l’esistenza del certificato di sicurezza è la presenza di un lucchetto verde (o di uno scudo su certi browser), accompagnato dalla parola Sicuro o appare il nome dell’azienda nella barra degli indirizzi. Potete verificarlo proprio ora alzando lo sguardo sulla finestra del vostro browser, perché tutti i siti di Kaspersky Lab utilizzano HTTPS.

In che modo un sito ottiene il certificato SSL

Ci sono due modi per ottenere un certificato; un webmaster può emettere e firmare un certificato e poi creare le chiavi di cifratura. Si tratta di certificazione “autofirmate”, e quando l’utente entra sul sito, viene avvertito che si tratta di un certificato non di fiducia.

Su siti di questo tipo, la finestra del browser mostra un lucchetto con una croce rossa o uno scudo rosso e le parole Non sicuro; le lettere HTTPS in rosso invece di verde, o le lettere HTTPS barrate o segnate in rosso (dipende dal browser e dalla versione).

La soluzione migliore è acquistare un certificato firmato da un’autorità certificata (CA), che verifica i documenti del proprietario del sito e i diritti sul dominio (dopotutto, la presenza di un certificato indica che la risorsa appartiene a una compagnia legittima registrata in una particolare regione).

Sebbene esistano parecchia CA, quelli più autorevoli si contano sulla dita di una mano. La reputazione di una CA dipende dalla fiducia riposta dagli sviluppatori dei browser e da come mostrano i siti che dispongono dei loro certificati. Il prezzo del certificato dipende dal tipo e dalla scadenza, oltre che dalla reputazione della CA.

Tipi di certificati SSL

Esistono varie tipologie di certificazioni firmate dalle CA, a seconda dell’affidabilità, dei destinatari e del prezzo.

Certificati di validazione del dominio (DV)

Per ottenere un certificato di validazione del dominio, una persona  o un ente legale devono dimostrare che sono in possesso del dominio in questione e che amministrano il sito. Questa certificazione stabilisce una connessione sicura ma non comprende informazioni sull’azienda che la possiede e non è richiesta documentazione per ottenerla (di fatto, per ottenerla si segue un iter di pochi minuti).

Certificati di validazione dell’organizzazione (OV)

Una versione più complessa è la certificazione di validazione dell’organizzazione, che non solo garantisce la sicurezza del dominio, ma anche che il dominio appartenga all’azienda specificata nel certificato. Si verifica la documentazione e poi viene emesso la certificazione, un iter per il quale si necessitano alcuni giorni. Se il sito possiede un certificato di validazione del dominio o dell’organizzazione, sul browser appare un lucchetto grigio o verde con la parola Sicuro e l’acronimo HTTPS nellla barra degli indirizzi.

Certificati di validazione estesa (EV)

Infine, c’è il certificato di validazione estesa, il più completo. Come avviene per il certificato di validazione dell’organizzazione, bisogna fornire tutta la documentazione necessaria, e nella barra degli indirizzi apparirà il nome e l’ubicazione dell’azienda in verde, affianco al lucchetto, sempre in verde.

I certificati EV sono i più affidabili per i browser, e anche i più costosi. Anche in questo caso, vengono visualizzate certe informazioni a seconda del browser (chi lo ha emesso, quando e la vigenza), basta cliccare sul nome dell’azienda o sulla parola Sicuro.

Problemi che riguardano i certificati

La sicurezza durante la navigazione e la protezione dei dati sono fattori chiave per la maggior parte degi sviluppatori di browser, come Google o Mozilla. Ad esempio, durante l’autunno dello scorso anno, Google ha annunciato che, a partire da quel momento, avrebbe indicato tutte le pagine con connessione HTTP con la dicitura “Non sicuro”, ostacolando in sostanza l’accesso a tali pagine da parte degli utenti.

La mossa di Google ha praticamente obbligato i siti HTTP ad acquistare le certificazioni. La richiesta di CA è così cresciuta a livelli esponenziali, e molti autorità che si occupano della loro emissione hanno dovuto velocizzare la fase di revisione della documentazione, il che purtroppo ha portato a una minore qualità nei controlli.

Il risultato è che, al giorno d’oggi, tali certificazioni possono essere rilasciate a siti che non sono totalmente affidabili. Uno studio condotto da Google ha rivelato che una delle CA più grandi e con maggiore reputazione aveva emesso oltre 30 mila certificazioni senza aver effettuato i dovuti controlli. Le conseguenze sono state importanti: Google ha deciso che tutti i certificati emessi sarebbero dovuti passare sotto la lente di ingrandimento del proprio sistema di verifica e che sarebbero stati definiti nuovi standard. Anche Mozilla ha intenzione di stabilire misure più restrittive.

Nonostante tali decisioni vadano verso la giusta direzione, non ci si può affidare totalmente a tali certificati e alla buona fede dei loro proprietari. Anche nel caso dei certificati EV, che in teoria dovrebbero soddisfare tutti gli standard di sicurezza, la famosa scritta in verde non va presa per oro colato.

Quella che coinvolge le certificazioni EV è una situazione complicata. I cybercriminali, ad esempio, possono registrare un’azienda con un nome simile a quello di un’altra azienda molto nota e ottenere una certificazione EV per questo sito. Un sito di phishing, con un nome che risulta famigliare agli utenti, appare così con in verde nella barra degli indirizzi e acquista così una certa credibilità. Alla luce di tutto ciò, durante la navigazione, vi consigliamo di stare sempre allerta e di seguire queste semplici linee guida.