La sigla HTTPS sta per HyperText Transfer Protocol over Secure Socket Layer<\/i>; \u00e8 una variet\u00e0 protetta del protocollo base utilizzato per la trasmissione di dati via web. Connettersi a una pagina web via HTTPS (piuttosto che HTTP) significa che qualsiasi dato trasmesso \u2013 informazioni di login, un commento in un blog o una trasferenza bancaria \u2013 passer\u00e0 attraverso il Transport Layer Security<\/i> (TLS) o il suo predecessore, Secure Sockets Layer<\/i> (SSL).<\/p>\n
Dunque, HTTPS significa crittografia e crittografia significa sicurezza. Tuttavia, crittografia a parte, come posso essere sicuro che sto comunicando con la persona o con il servizio giusto? Come possiamo assicurarci che il sito che stiamo visitando e in cui stiamo inserendo le credenziali di login non sia falso? Immaginiamo che stiamo comprando un antivirus Kaspersky<\/a>. Come possiamo essere sicuri al 100% che le informazioni di pagamento che riceviamo siano sicure e che non ci sia di mezzo lo zampino di un hacker? Ed infine, come possiamo esser certi che terzi non stiano spiando la nostra transazione? Qui \u00e8 dove entrano in gioco i certificati digitali.<\/p>\n Puoi verificarlo tu stesso digitando HTTPS nella barra del browser. Se il sito ha un certificato valido, il server che ospita il sito presenter\u00e0 il certificato al browser (si tratta di una lista di distributori di certificati affidabili) e non accadr\u00e0 nulla di particolare. In base al browser, puoi trovare un piccolo lucchetto sulla barra del browser (o un suo equivalente) su cui puoi cliccare e leggere le informazioni relative al certificato e ai distributori. Ad ogni modo, se cerchi di accedere alla versione HTTPS del sito e la pagina non ha un certificato valido, apparir\u00e0\u00a0 un messaggio di avviso SSL come questo: Ora che sei in possesso di qualche concetto base in materia di HTTPS e Certificati Digitali, vediamo come i due elementi \u2013 HTTPS e certificati \u2013 sono collegati. In pratica, il protocollo HTTPS ti informa che le informazioni che stai inviando verranno criptate in itinere, in modo sicuro, e che i dati stanno andando nella giusta direzione.<\/p>\n Una volta compreso il funzionamento dei certificati e il loro scopo, \u00e8 opportuno chiarire il concetto stesso di certificato, dato che non \u00e8 un\u2019idea astratta. Un certificato digitale \u00e8 un documento firmato elettronicamente e vincola una pagina web o un servizio a un distrubuitore che ha confermato la sua identit\u00e0. Contiene la firma algoritmica unica, le informazioni di identificazione, quelle relative al distributore del certificato e un periodo di validit\u00e0 che indica quando il certificato \u00e8 stato rilasciato e per quanto tempo \u00e8 valido. La firma \u00e8 la parte finale di un certificato digitale e conferma che l\u2019utente sta comunicando con chi realmente desidera e che la comunicazione viene crittografata in itinere.<\/p>\n L\u2019ultimo pezzo del puzzle \u00e8 la parte relativa alle autorit\u00e0 che distribuiscono tali certificati. Una autorit\u00e0 o organizzazione che vende o distribuisce certificati si chiama Certificate Authority<\/i> o, letteralmente, Autorit\u00e0 Certificativa. GoDaddy, VeriSign e Entrust sono le prime tre autorit\u00e0 certificative che mi vengono in mente. Io stesso potrei affermare di essere una autorit\u00e0 certificativa e iniziare a vendere certificati, se volessi. Il problema \u00e8 che nessuno si fiderebbe dei miei certificati. Questo \u00e8 il punto: i certificati sono validi solo se sono affidabili e attendibili, ovvero se gli viene data fiducia, se qualcuno garantisce per loro.<\/p>\n Come possiamo sapere se sono affidabili o no? Qui entrano in gioco i certificati root. I certificati root sono certificati che vengono considerati affidabili di default dalla maggior parte dei browser e hanno il potere di estendere la loro attendibilit\u00e0 ad altri certificati. Diciamo che qualcuno di nome Larry distribuisce certificati ed \u00e8 una certificate authority<\/i> di certificati root. Il tuo browser si fider\u00e0 di qualsiasi certificato di Larry, ma non solo; si fider\u00e0 anche di qualsiasi altro certificato per cui Larry garantisce. Esistono molte certificate authority <\/i>sul mercato e questo \u00e8 il loro modo di verificare l\u2019autentiticit\u00e0. Lasciamo quindi che le autorit\u00e0 certificative affidabili decidano quali siano le altre autorit\u00e0 certificative attendibili e tutti vivranno felici e contenti. Vi sembra giusto? Beh, non \u00e8 cos\u00ec che dovrebbe funzionare.<\/p>\n \u00c8 facile dedurre che l\u2019attuale sistema di gestione dei certificati digitali \u00e8 piuttosto controverso. I certificati digitali, le firme ivi contenute e le certificate authority<\/i> che li rilasciano sono elementi importanti per la sicurezza della nostra navigazione, ma il sistema si basa su di un meccanismo contraddittorio e pieno di falle. Tuttavia, questo \u00e8 il sistema attualmente in uso e su cui ci affidiamo quando realizziamo pagamenti o inviamo documenti e e-mail.<\/p>\n \u00c8 evidente che abbiamo bisogno di un nuovo sistema. Le violazioni subite da diverse certificate authorithy<\/i>, come DigiNotar<\/a> e Comodo<\/a>, o i casi che hanno visto, non uno, ma ben due certificati contraffatti, che hanno permesso la diffusione del virus Stuxnet, lo dimostrano. Ricercatori di sicurezza IT come Moxie Marlinspike hanno suggerito che il sistema \u2018Convergence SSL\u2019 potrebbe essere la soluzione al problema. Nonostante il debutto di \u2018Convergence\u2019 presso la conferenza Black Hat Security, <\/i>risalente a due anni fa, e la sua positiva ricezione, tuttora ci affidiamo ad un sistema di certificati inadeguato, che fa acqua da tutte le parti. \u00c8 importante utilizzare un sistema sicuro dato che ogni giorno in rete inviamo dati importati, realizziamo trasferenze e acquistiamo cose. Ogni volta che sentiamo parlare di una violazione di una certificate authority<\/i>, ci lamentiamo ma non facciamo nulla per cambiare le cose.<\/p>\n Dunque cosa possiamo fare? Tutto quello che puoi fare \u00e8 assicurarti che stai navigando in HTTPS quando inserisci dati importi in un sito, come informazioni di pagamento o credenziali di login e quando invii una e-mail. Oltre a questo, puoi cliccare sull\u2019icona del lucchetto, o il suo equivalente, e esaminare il certificato stesso. Si consiglia, inoltre, di rimanere aggiornati circa le ultime novit\u00e0 in materia di sicurezza IT e revocare manualmente la \u2018fiducia\u2019 ad alcune autorit\u00e0 certificative quando e se compromesse. Revocarne l\u2019attendibilit\u00e0 significa che il tuo browser non si fider\u00e0 pi\u00f9 del suo certificato o dei siti per cui garantisce. Appena vieni a sapere di una certificate authority<\/i> compromessa, la cosa migliore \u00e8 revocarne immediatamente la fiducia dalle impostazioni del tuo browser<\/a>. Ma non c\u2019\u00e8 bisogno di preoccuparsi eccessivamente perch\u00e9 Microsoft, Mozilla e Google hanno reagito velocemente e hanno gi\u00e0 iniziato ad occuparsi della questione, revocando la fiducia a diverse authority<\/i> compromesse (peccato non poter dire lo stesso di Apple<\/a>). Il segreto \u00e8 utilizzare soluzioni di sicurezza complete, rimanere aggiornati sulla ultime novit\u00e0 e sui patch per il tuo browser e per il tuo sistema operativo.<\/p>\n","protected":false},"excerpt":{"rendered":" Per poter capire che cosa sono i Certificati Digitali e il protocollo HTTPS, abbiamo bisogno di parlare di crittografia. Ma non vi preoccupate: sar\u00e0 rapido e indolore. La cosa pi\u00f9<\/p>\n","protected":false},"author":42,"featured_media":873,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[516,514,515],"class_list":{"0":"post-871","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-certificate-authority","9":"tag-certificati-digitali","10":"tag-https"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/certificati-digitali-e-https\/871\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/certificate-authority\/","name":"certificate authority"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/871","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=871"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/871\/revisions"}],"predecessor-version":[{"id":27058,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/871\/revisions\/27058"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/873"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=871"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=871"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=871"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n![\"messaggio](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2013\/05\/06004453\/messaggio-di-avviso.png\" "\\"messaggio")
<\/a>
\nQuesto messaggio, \u00e8 la forma che adotta il tuo browser per dirti che non ha potuto verificare l\u2019identit\u00e0 del server del sito a cui stai cercando di accedere. \u00c8 molto importante avere un sistema di certificati come questo per verificare che i siti e i servizi siano quelli che dicono di essere e non incorrere in attacchi man-in-the-middle<\/a>.<\/p>\n