La
gestione di un sito web comporta, oggigiorno, una serie di importanti sfide. Oltre a una composizione e definizione puntuale delle pagine e della relativa parte grafica, è essenziale garantire la sicurezza del proprio portale e quella di chi vi accede.
Un sito internet deve essere continuamente
aggiornato e monitorato per poterne assicurare continuità d’esercizio e una protezione adeguata.
Le
minacce online sono in costante evoluzione e possono colpire indistintamente privati, imprese, oltre a servizi e siti. Si tratta di attività mirate o ad ampio spettro, che vanno a colpire settori specifici o categorie eterogenee di siti. Come recentemente evidenziato in un’
indagine di Group-IB, esistono oggi “ladri di informazioni altamente specializzati”.
Uno dei più singolari sviluppi del panorama globale delle minacce è la crescente popolarità degli
information stealer. In altre parole, malware che sottraggono dettagli personali dai metadati del browser degli utenti. Questi stealer possono
carpire credenziali, dettagli sulle carte bancarie, cookie, impronte nel browser e molto altro.
La protezione SSL
In quest’ottica, l’applicazione di
certificati SSL al proprio sito, non solo è fortemente raccomandata, ma costituisce una prima, importante, barriera contro una serie di potenziali attacchi.
La tecnologia
SSL / TLS è usata da tempo per irrobustire la sicurezza degli scambi di dati su internet. Questa architettura consente di crittografare e proteggere le informazioni trasmesse tramite protocollo HTTPS. All’atto pratico, adottando SSL è possibile garantire ai visitatori del sito web che i loro dati di anagrafica, sugli strumenti di pagamento e altre informazioni potenzialmente sensibili, non siano intercettati illegalmente. Solo l’utente che stabilisce il collegamento e il server sul quale il sito web è ospitato avranno accesso alle informazioni.
Per garantire la sicurezza delle sessioni dei browser web, dei server di posta elettronica e, in generale, degli ambienti “client-server”, il protocollo SSL adotta solide tecniche di codifica e autenticazione.
Esso è situato tra il livello applicazione e quello TCP/IP ed è composto da due strati: il protocollo Handshake e il protocollo Record. Durante la comunicazione, il protocollo SSL Handshake utilizza un certificato X.509 per autenticare l’identità del titolare del certificato.
Protezione essenziale per l’e-commerce
Il
protocollo SSL fornisce un livello fondamentale di sicurezza online ed è dunque essenziale quando si trasmettono dati nell’internet pubblico. SSL garantisce la riservatezza e l’integrità delle informazioni, è uno strumento vantaggioso per le aziende e per i singoli consumatori. Si tratta di un’efficace protezione anche contro le minacce MITM (Man-in-the-Middle) e altri pericolosi cyber attacchi. Contribuendo a garantire che la sicurezza delle informazioni non sia compromessa nelle transazioni online, SSL assume un ruolo primario nel raggiungimento della compliance alla sicurezza.
Il processo operativo include la disponibilità di un certificato, l’
autenticazione dello stesso e la
generazione di chiavi numeriche. La chiave privata è installata sul server e permette la generazione di cache di certificazione per il sito in oggetto.
Il secondo elemento è la
chiave pubblica, parte del certificato SSL che viene installata sul sito. Esso consente ai visitatori uno
scambio di dati cifrato, un aspetto importante soprattutto se si devono inserire informazioni private, come numeri di carte bancarie, PIN, email, recapiti personali.
L’
installazione dei certificati SSL trova fondamentale applicazione nel mondo del commercio digitale e sui siti di e-commerce di ogni dimensione.
In questo caso, la protezione dello stream dati deve essere totale, perché contiene dati sensibili e riferimenti chiari a venditori e compratori.
In questo senso, il
Garante per la Protezione dei Dati Personali (Garante della privacy) si è espresso chiaramente, segnalando come un sito web privo di supporto HTTPS costituisca un illecito della privacy.
L’assenza di certificati SSL è in controtendenza con il principio fondamentale di progettazione “Privacy by Design”, individuato nel GDPR. Il gestore dell’e-commerce deve infatti, prima di tutto, valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati. Deve poi proteggere i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.
I certificati SSL sono dunque un tassello di una più ampia strategia di protezione dei dati, sono solitamente inclusi nei piani di hosting e possono essere richiesti al proprio service provider.