Magazine

Certificato SSL, cos’è e come funziona

27/01/2020
SSL: Come funziona
Il certificato SSL serve a trasmettere le informazioni in modo sicuro proteggendo i dati degli utenti da frodi, furto di identità e phishing. (In questo articolo trovi approfondimenti sul Phishing e come difendersi )
I certificati SSL, ritenuti ormai obbligatori da tempo, servono sia ad autenticare l'identità di un sito web sia a criptare informazioni inviate al server.
In altre parole proteggono le comunicazioni via Internet in modo tale che le informazioni sensibili fornite dagli utenti sul web, come password o dati personali, restino riservate e non possano essere intercettate da terzi.
 
Esistono 3 tipi principali di certificati SSL:
 
  1. Convalida a livello di dominio che certifica solo il dominio internet e può essere richiesto solo dal proprietario del dominio
  2. Convalida a livello di organizzazione che certifica la proprietà del sito da parte di un'azienda e può essere richiesto da rappresentanti autorizzati dell'azienda stessa
  3. Convalida estesa che offre il maggior grado di sicurezza e affidabilità di un sito internet

In ogni caso il certificato SSL contiene precise informazioni su:
 
  • nome di chi possiede il certificato
  • numero di serie
  • data di scadenza del certificato
  • copia della chiave pubblica del titolare del certificato
  • firma digitale dell’autorità di emissione del certificato
Dopo aver ottenuto e implementato il certificato SSL sul proprio sito nella barra di navigazione del browser, il nome del dominio verrà preceduto dall’icona di un lucchetto a dimostrazione che la connessione è protetta.

Che cos’è il protocollo HTTPS

HTTPS, acronimo di Hyper Text Transfer Protocol Secure, è un protocollo di comunicazione sicuro che crea una connessione criptata tra l’utente e il sito web.
I dati inviati tramite HTTPS non possono essere modificati o danneggiati nel trasferimento senza che nessuno se ne accorga. Infine (e non ultimo) il protocollo HTTPS serve ad autenticare l’identità di un sito web, trasmettendo maggiore fiducia all’utente, cosa fondamentale soprattutto quando il sito in questione è un e-commerce.

Crittografia informatica

La sicurezza della comunicazione su internet utilizza la crittografia, che letteralmente vuol dire “scrittura nascosta”. Grazie alla crittografia quindi le informazioni che gli utenti scrivono in chiaro vengono trasformate in forma cifrata e quindi sono leggibili solo a chi possiede la chiave per decifrarle.
In ambito informatico vengono distinti due tipi di crittografia:
 
  • simmetrica, utilizza la stessa chiave sia per creare che per decodificare il testo cifrato
  • asimmetrica, usa due chiavi diverse per criptare e decriptare il testo 

I certificati di sicurezza efficaci

Per implementare il protocollo HTTPS è necessario ottenere un certificato di sicurezza emesso da un’autorità di certificazione che adotta determinate misure per verificare l'appartenenza del sito web a una specifica organizzazione.

Sono disponibili diversi certificati ed è importante scegliere quello ottimale per il proprio sito web. È possibile scegliere tra tre diverse opzioni:
 
  • Unico certificato per un'unica origine protetta
  • Certificato multidominio per diverse origini protette note
  • Certificato con caratteri jolly
Inoltre per implementare il protocollo HTTPS si consiglia di:
 
  • Utilizzare reindirizzamenti 301 lato server 
in modo tale che tutte le pagine, precedentemente indicizzate con il protocollo http, rispondano anche in https
  • Verificare la scansione e l’indicizzabilità  
Google deve poter scansionare e indicizzare le pagine HTTPS, per questo è necessario non bloccarle mediante file robots.txt, non includere meta tag noindex nelle pagine HTTPS e infine utilizzare lo strumento Controllo URL per verificare che Googlebot riesca ad accedere alle tue pagine.
  • Implementare il supporto HSTS 
che indica al browser di richiedere le pagine HTTPS in modo automatico - anche se l'utente inserisce http nella barra degli indirizzi - e a Google di pubblicare URL protetti nei risultati di ricerca.

Certificato SSL gratuito

È possibile ottenere certificati SSL in modo gratuito. La differenza con uno a pagamento è il livello di protezione, per questo motivo i primi sono più indicati per progetti personali come ad esempio un blog.
Chi vuole un certificato gratis può valutare Let’s Encrypt, proposto da una Certificate Authority non-profit. Let’s Encrypt presenta diversi limiti rispetto a un certificato commerciale, ad esempio offre solo la validazione del dominio, non controlla la proprietà del dominio, non estende la certificazione a terzi livelli e non offre supporto.
Chi gestisce un e-commerce quindi non può accontentarsi di un certificato SSL gratuito che non offre un livello di sicurezza tale da garantire la massima tranquillità ai propri clienti.

Certificato SSL per e-commerce

Ormai è chiaro che per un sito e-commerce è necessario dotarsi di certificati altamente efficaci, e la sicurezza si paga.
Non tutti i certificati SSL a pagamento sono uguali e tra le differenze c’è anche il prezzo. Più alto è il livello di protezione offerto e più cresce il suo costo.

Ecco una lista di alcuni dei certificati SSL che possono essere utilizzati da un e-commerce, ma anche da altre tipologie di siti web:

  • Certificati RapidSSL
  • Certificati Thawte
  • Certificati GeoTrust
  • Certificati Comodo
  • Certificati Actalis