Passa al contenuto principale

Che cos'è un certificato SSL?

Un certificato SSL è un certificato digitale che autentica l'identità di un sito web e consente di instaurare una connessione crittografata. SSL è acronimo di Secure Sockets Layer, un protocollo di sicurezza che crea un link crittografato fra un server web e un browser web.

Aziende e organizzazioni devono aggiungere certificati SSL ai propri siti per proteggere le transazioni online e per garantire la sicurezza e la riservatezza delle informazioni sui clienti.

In breve: SSL protegge le connessioni a Internet e impedisce ai criminali di leggere o modificare le informazioni scambiate fra due sistemi. Se accanto all'URL nella barra degli indirizzi è visualizzata l'icona di un lucchetto, significa che il sito web visitato è protetto da SSL.

Dalla sua introduzione, circa 25 anni fa, sono state rilasciate varie versioni del protocollo SSL, ma prima o poi hanno tutte creato problemi di sicurezza. In seguito è stata introdotta una versione riprogettata, denominata TLS (Transport Layer Security), che viene utilizzata ancora oggi. Tuttavia il vecchio acronimo, SSL, è ancora in uso e viene utilizzato anche per fare riferimento alla nuova versione del protocollo.

Come funzionano i certificati SSL?

SSL assicura che tutti i dati scambiati fra gli utenti e i siti web, o fra due sistemi, rimangano impossibili da leggere. Utilizza algoritmi di crittografia allo scopo di rendere irriconoscibili i dati in transito, per impedire agli hacker di leggerli mentre vengono trasmessi sulla connessione. Tali dati possono includere informazioni sensibili, come nomi, indirizzi, numeri di carta di credito o altri dati finanziari.

seguendo un processo di questi tipo:

  1. Un browser o un server tenta di connettersi a un sito web (ad esempio un server web) protetto con SSL.
  2. Il browser o il server chiede al server web di identificarsi.
  3. Il server web risponde inviando al browser o al server una copia del suo certificato SSL.
  4. Il browser o il server verifica se il certificato SSL è affidabile. Se lo è, lo comunica al server web.
  5. Il server web restituisce quindi una conferma firmata digitalmente, per avviare una sessione SSL crittografata.
  6. I dati crittografati vengono condivisi fra il browser o il server e il server web.

Tale processo viene talvolta denominato "handshake SSL". Anche se può sembrare lungo, in realtà richiede solo pochi millisecondi.

Quando un sito web è protetto da un certificato SSL, il suo URL è preceduto dal prefisso HTTPS (HyperText Transfer Protocol Secure). Se non è disponibile un certificato SSL, viene utilizzato il prefisso HTTP, senza la S di Secure (Sicuro). Accanto all'URL, nella barra degli indirizzi viene visualizzata anche l'icona di un lucchetto, per indicare che il sito è affidabile e rassicurare i visitatori.

Per visualizzare i dettagli di un certificato SSL, è possibile cliccare sull'icona del lucchetto nella barra degli indirizzi del browser. I dettagli del certificato SSL solitamente includono:

  • Il nome del dominio a cui è stato rilasciato il certificato
  • La persona, l'organizzazione o il dispositivo a cui è stato rilasciato
  • L'Autorità di certificazione emittente
  • La firma digitale dell'Autorità di certificazione
  • I sottodomini associati
  • La data di emissione del certificato
  • La data di scadenza del certificato
  • La chiave pubblica (la chiave privata non è riportata)

Perché è necessario un certificato SSL

I siti web utilizzano i certificati SSL per proteggere i dati degli utenti, verificare la proprietà del sito web, impedire agli autori degli attacchi di creare una versione fittizia del sito e conquistare la fiducia degli utenti.

Se un sito web chiede agli utenti di effettuare l'accesso, immettere dati personali, come un numero di carta di credito, o visualizzare informazioni riservate, come benefit sanitari o informazioni finanziarie, è essenziale garantire la riservatezza di tali dati. I certificati SSL proteggono la riservatezza delle interazioni online e garantiscono agli utenti che un determinato sito web è autentico, ed è possibile condividere informazioni private in tutta sicurezza.

La cosa più importante per le aziende è che, per ottenere un indirizzo web HTTPS, occorre un certificato SSL. HTTPS è la forma sicura di HTTP, poiché il traffico dei siti web HTTPS è crittografato tramite SSL. La maggior parte dei browser classifica i siti HTTP (quelli privi di certificato SSL) come "non sicuri". Questo indica chiaramente agli utenti che il sito non può essere considerato affidabile e spinge le aziende che non lo hanno ancora fatto a passare ad HTTPS.

Un certificato SSL consente di proteggere informazioni quali:

  • Credenziali di accesso
  • Transazioni con carta di credito o informazioni sui conti bancari
  • Informazioni personali, quali nome completo, indirizzo, data di nascita o numero di telefono
  • Documenti legali e contratti
  • Cartelle mediche
  • Informazioni proprietarie

Tipi di certificati SSL

Esistono vari tipi di certificati SSL, con livelli di convalida diversi. I sei tipi principali sono:

  1. Certificati a convalida estesa (EV SSL)
  2. Certificati con convalida dell'organizzazione (OV SSL)
  3. Certificati con convalida del dominio (DV SSL)
  4. Certificati SSL con caratteri jolly
  5. Certificati SSL multidominio (MDC)
  6. Certificati Unified Communications Certificate (UCC)

Certificati a convalida estesa (EV SSL)

Questo è il tipo di certificato SSL con il livello di protezione massimo, ed è anche il più costoso. Viene solitamente utilizzato per i siti web di alto profilo, che raccolgono dati e utilizzano pagamenti online. Quando viene installato, questo tipo di certificato SSL visualizza l'icona di un lucchetto, il prefisso HTTPS, il nome dell'azienda e il paese sulla barra degli indirizzi del browser. Visualizzando il proprietario del sito web sulla barra degli indirizzi, aiuta a distinguere il sito legittimo dai siti nocivi. Per configurare un certificato EV SSL, il proprietario del sito web deve seguire una procedura standard di verifica dell'identità al fine di dimostrare di aver ottenuto legalmente diritti di esclusiva per il dominio.

Certificati con convalida dell'organizzazione (OV SSL)

Questa versione del certificato SSL garantisce un livello di sicurezza simile a quello del certificato EV SSL, perché per ottenerlo il proprietario del sito web deve completare una procedura di convalida rigorosa. Anche questo tipo di certificato visualizza le informazioni relative al proprietario del sito web nella barra degli indirizzi, per distinguerlo dai siti nocivi. I certificati OV SSL sono in genere i secondi più costosi (dopo i certificati EV SSL) e hanno soprattutto lo scopo di crittografare le informazioni sensibili dell'utente durante le transazioni. I siti web commerciali o rivolti al pubblico devono installare un certificato OV SSL per garantire la riservatezza delle informazioni sui clienti.

Certificati con convalida del dominio (DV SSL)

Il processo di convalida per ottenere un certificato SSL è minimo, di conseguenza i Certificati SSL con convalida del dominio forniscono livelli di sicurezza inferiori e una crittografia minima. In genere vengono utilizzati per blog o siti web informativi, che non prevedono alcuna raccolta di dati o pagamenti online. Questo tipo di certificato SSL è uno dei meno costosi e dei più rapidi da ottenere. Il processo di convalida richiede solo che il proprietario del sito web dimostri di possedere il dominio, rispondendo a un messaggio e-mail o a una chiamata telefonica. La barra degli indirizzi del browser mostra solo il prefisso HTTPS e l'icona del lucchetto, ma non visualizza il nome dell'azienda.

Certificati SSL con caratteri jolly

I certificati SSL con caratteri jolly consentono di proteggere un dominio di base e un numero illimitato di sottodomini con un singolo certificato. Se devi proteggere più sottodomini, l'acquisto di un certificato SSL con caratteri jolly è molto meno costoso che acquistare singolarmente i vari certificati SSL. Nel nome comune dei certificati SSL con caratteri jolly è presente un asterisco (*), che rappresenta tutti i sottodomini validi con lo stesso dominio di base. Ad esempio, un singolo certificato con caratteri jolly per *yourdomain consente di proteggere:

  • yourdomain.com
  • yourdomain.com
  • yourdomain.com
  • yourdomain.com
  • yourdomain.com

Certificati SSL multidominio (MDC)

Un certificato multidominio consente di proteggere numerosi nomi di dominio e/o sottodominio. Sono incluse le combinazioni di domini e sottodomini completamente univoci, con diversi domini di livello superiore (TLD, Top-Level Domain), ad eccezione di quelli locali o interni,

ad esempio:

  • example.com
  • org
  • this-domain.net
  • anything.com.au
  • example.com
  • example.org

I certificati multidominio non supportano i sottodomini per impostazione predefinita. Per proteggere sia www.example.com che example.com con un singolo certificato multidominio, è necessario specificare entrambi i nomi host nella richiesta di certificato.

Certificati Unified Communications Certificate (UCC)

Anche i certificati Unified Communications Certificates (UCC) sono considerati certificati SSL multidominio. I certificati UCC sono stati inizialmente concepiti per proteggere i server Microsoft Exchange e Live Communications. Oggi qualunque proprietario di siti web può utilizzare questi certificati per proteggere più nomi di dominio con un singolo certificato. I certificati UCC vengono convalidati a livello di organizzazione e visualizzano l'icona di un lucchetto nel browser. I certificati UCC possono essere utilizzati come certificati EV SSL, per garantire la massima sicurezza ai visitatori del sito web tramite la barra degli indirizzi verde.

È essenziale conoscere a fondo i diversi tipi di certificato SSL al fine di ottenere quello più adatto al proprio sito web.

Come ottenere un certificato SSL

I certificati SSL possono essere ottenuti direttamente da un'Autorità di certificazione (CA). Le Autorità di certificazione rilasciano milioni di certificati SSL ogni anno. Svolgono un ruolo chiave per il funzionamento di Internet e per garantire la trasparenza e l'affidabilità delle interazioni online.

Un certificato SSL può essere gratuito o arrivare a costare alcune centinaia di dollari, a seconda del livello di sicurezza richiesto. Una volta determinato il tipo di certificato necessario, è possibile cercare le Autorità di certificazione che offrono il livello SSL richiesto.

Per ottenere un certificato SSL è necessario procedere come segue:

  • Prepararsi, configurando il proprio server e verificando che il record WHOIS sia aggiornato e corrispondente alla richiesta da presentare all'Autorità di certificazione (deve indicare il nome e l'indirizzo corretti dell'azienda e così via)
  • Generare una richiesta di firma del certificato (CSR, Certificate Signing Request) sul proprio server. Per questa operazione, puoi chiedere aiuto alla tua società di hosting.
  • Inviare la richiesta all'Autorità di certificazione, per convalidare i dati relativi al dominio e all'azienda.
  • Installare il certificato ottenuto al termine del processo.

Il certificato ottenuto deve essere configurato nel tuo host web o nei tuoi server, se ospiti direttamente il tuo sito web.

Il tempo necessario per ottenere il certificato dipende dal tipo di certificato richiesto e dal provider a cui ti rivolgi. Il tempo varia a seconda del livello di convalida. Un semplice certificato SSL con convalida del dominio può essere rilasciato pochi minuti dopo l'ordinazione, mentre un certificato con convalida estesa può richiedere un'intera settimana.

Un certificato SSL può essere utilizzato su più server?

È possibile utilizzare un singolo certificato SSL per più domini sullo stesso server. A seconda del vendor, puoi anche utilizzare un singolo certificato SSL su più server. Questo avviene nel caso dei certificati SSL multidominio, di cui abbiamo parlato prima.

Come implica il nome, i certificati SSL multidominio interessano più domini, il cui numero è a discrezione della specifica Autorità di certificazione emittente. Un certificato SSL multidominio è diverso da un certificato SSL per un singolo dominio, che consente di proteggere un dominio solo.

A volte, i certificati SSL multidominio possono essere chiamati certificati SAN, anche se questo può creare confusione. SAN è acronimo di Subject Alternative Name (Nome alternativo del soggetto). Ogni certificato multidominio contiene campi aggiuntivi (ovvero, SAN) che possono essere utilizzati per elencare i diversi domini coperti dallo stesso certificato.

Anche i certificati Unified Communications Certificate (UCC) e i certificati SSL con caratteri jolly consentono di proteggere più domini e, nel caso dei certificati SSL, un numero illimitato di sottodomini.

Cosa accade alla scadenza di un certificato SSL?

I certificati SSL scadono, non durano per sempre. Secondo il Certificate Authority Browser Forum, che costituisce l'organismo di regolamentazione di fatto per il settore SSL, i certificati SSL non possono avere una durata superiore ai 27 mesi, sostanzialmente due anni più tre mesi, se rinnovi il certificato SSL precedente per il tempo residuo.

Il certificati SSL scadono perché, come avviene per qualsiasi forma di autenticazione, le informazioni devono essere riconvalidate periodicamente per verificare che siano ancora accurate. Su Internet le cose cambiano, perché le aziende e i siti web vengono comprati e venduti, e con il passaggio di proprietà cambiano anche le informazioni rilevanti per i certificati SSL. Il periodo di scadenza ha lo scopo di assicurare che le informazioni utilizzate per autenticare i server e le organizzazioni siano il più possibile aggiornate e precise.

In precedenza i certificati SSL potevano avere una validità di cinque anni, che in seguito è stata ridotta a tre e, di recente, a due più un periodo potenziale di tre mesi extra. Nel 2020 Google, Apple e Mozilla hanno annunciato l'intenzione di imporre l'utilizzo di certificati SSL di un anno, nonostante il parere contrario di Certificate Authority Browser Forum. La decisione è entrata in vigore nel settembre 2020 ed è possibile che, in futuro, il periodo di validità venga ridotto ulteriormente.

Quando un certificato SSL scade, il sito in questione diventa irraggiungibile. Quando il browser di un utente raggiunge un sito web, verifica la validità del certificato SSL in alcuni millisecondi (nell'ambito dell'handshake SSL) e, se il certificato SSL è scaduto, visualizza un messaggio per indicare che il sito non è sicuro e potrebbe essere rischioso.

Gli utenti hanno la possibilità di procedere comunque, ma non è consigliabile dati i rischi per la Cybersecurity, che possono includere il malware. Questo influisce notevolmente sul bounce rate dei proprietari dei siti web, perché gli utenti abbandonano rapidamente la home page e si dirigono altrove.

Il monitoraggio delle scadenze dei certificati SSL può costituire un problema serio per le grandi imprese. Mentre le piccole e medie imprese (PMI) possono avere solo uno o più certificati da gestire, le grandi imprese che operano in vari mercati, con numerosi siti web e reti, ne utilizzano molti di più. A questo livello, basta una svista per dimenticare la scadenza di un certificato SSL. La soluzione ottimale per mantenere sotto controllo le scadenze dei certificati SSL nelle grandi imprese consiste nell'utilizzare una piattaforma di gestione dei certificati. Sul mercato sono disponibili vari prodotti, reperibili tramite una ricerca online, che consentono alle grandi imprese di vedere e gestire i certificati digitali nell'intera infrastruttura. Se utilizzi una di queste piattaforme, è importante effettuare l'accesso regolarmente per verificare quando eseguire i rinnovi.

Quando un certificato scade, perde validità e non è più possibile proteggere le transazioni sul sito web che lo utilizza. L'Autorità di certificazione (CA, Certification Authority) chiede di rinnovare il certificato SSL prima della data di scadenza.

Qualunque Autorità di certificazione o servizio SSL utilizzi per ottenere i certificati SSL, riceverai una notifica di scadenza a intervalli prestabiliti, in genere a partire da 90 giorni prima della scadenza. Assicurati che tali promemoria vengano inviati a una lista di distribuzione e-mail, anziché a una persona singola, che potrebbe lasciare l'azienda o cambiare ruolo prima dell'invio del promemoria. Pensa alle figure aziendali interessate da includere nella lista di distribuzione, per assicurarti che i promemoria vengano visti dalle persone giuste al momento giusto.

Come verificare se un sito dispone di un certificato SSL

Il modo più semplice per verificare se un sito dispone di un certificato SSL consiste nell'osservarne l'indirizzo nella barra degli indirizzi del browser:

  • Se l'URL inizia per HTTPS anziché per HTTP, significa che il sito è protetto da un certificato SSL.
  • I siti sicuri sono contrassegnati dall'icona di un lucchetto, cliccando sulla quale è possibile visualizzare i dati relativi alla sicurezza. I siti più affidabili sono identificati da un lucchetto o una barra degli indirizzi verde.
  • Inoltre, i browser visualizzano segnali di avvertimento quando una connessione non è sicura, come un lucchetto rosso o un lucchetto aperto, una linea sopra l'indirizzo del sito web o un triangolo di avvertenza sopra l'icona del lucchetto.

Come verificare se la sessione online è sicura

Invia i tuoi dati personali e i tuoi dati di pagamento online esclusivamente a siti web dotati di certificati EV od OV . I certificati DV non sono adatti ai siti web di e-commerce. Per stabilire se un determinato sito dispone di un certificato EV od OV, devi osservare la barra degli indirizzi. Nel caso di un certificato EV SSL, il nome dell'organizzazione è visibile nella barra degli indirizzi. Per i certificati OV SSL, è possibile visualizzare il nome dell'organizzazione cliccando sull'icona del lucchetto. Nel caso dei certificati DV SSL è visualizzata solo l'icona del lucchetto.

Leggi l'Informativa sulla privacy del sito web per verificare come verranno utilizzati i tuoi dati. Le aziende legittime illustrano in modo trasparente le procedure utilizzate e le finalità della raccolta dei dati.

Cerca gli indicatori o i segnali di attendibilità nei siti web .
Oltre ai certificati SSL, questi siti web espongono anche badge e logo rinomati per dimostrare che soddisfano standard di sicurezza specifici. Per verificare se un determinato sito è reale o meno, è inoltre possibile verificare l'indirizzo fisico e il numero di telefono dell'azienda, leggere la politica su resi e rimborsi e assicurarsi che i prezzi siano realistici e non esageratamente bassi.

Presta attenzione alle truffe di phishing .
A volte, gli autori degli attacchi informatici creano siti web che emulano altri siti esistenti per indurre gli utenti ad acquistare qualcosa o ad accedere ai loro siti di phishing. Un sito di phishing può ottenere un certificato SSL e crittografare tutto il traffico in entrata e in uscita. Un numero sempre crescente di truffe di phishing si avvale di siti HTTPS per ingannare gli utenti, che si sentono rassicurati dall'icona del lucchetto.

Per evitare questo tipo di attacchi:

  • Esamina sempre il dominio del sito in cui ti trovi e assicurati che il nome non contenga errori di battitura. L'URL di un sito fittizio potrebbe presentare anche un solo carattere di differenza, ad esempio amaz0n.com al posto di amazon.com. Se sei in dubbio, digita il nome del dominio direttamente nel browser, per avere la certezza di connetterti esattamente al sito web che intendi visitare.
  • Non immettere mai nomi di accesso, password, credenziali bancarie o qualsiasi altra informazione personale se non sei certo dell'autenticità del sito.
  • Considera sempre quello che ti viene offerto da un determinato sito web. Se ti sembra sospetto e se hai effettivamente l'esigenza di eseguire la registrazione.
  • Assicurati che i tuoi dispositivi siano ben protetti: Kaspersky Internet Security controlla gli URL in un vasto database di siti di phishing e rileva le truffe indipendentemente dal livello di sicurezza apparente della risorsa.

I rischi di Cybersecurity sono in continua evoluzione, ma conoscendo i tipi di certificati SSL da cercare e sapendo come distinguere un sito sicuro da uno potenzialmente pericoloso, gli utenti di Internet possono evitare le truffe e proteggere i propri dati personali dai cybercriminali.

Articoli correlati:

Che cos'è un certificato SSL - Definizione e spiegazione

Kaspersky Logo