Introduzione alla tecnologia SSL

WHITE PAPER:
Guida introduttiva
ai certificati SSL
White paper
Guida introduttiva
ai certificati SSL
Istruzioni per scegliere le migliori
opzioni di sicurezza online
White paper: Guida introduttiva ai certificati SSL
Guida introduttiva ai certificati SSL
Istruzioni per scegliere le migliori opzioni
di sicurezza online
Indice generale
Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Cos'è un certificato SSL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Come funziona la crittografia SSL? . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Come sapere se un sito ha un certificato SSL valido? . . . . . . . . . . . . . . . . 4
Dove va utilizzato un certificato SSL? . . . . . . . . . . . . . . . . . . . . . . . . . 5
Tipi di certificati SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Dizionario tecnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2
White paper: Guida introduttiva ai certificati SSL
Introduzione
Che tu sia un singolo utente o un'azienda, l'approccio alla sicurezza online deve
essere lo stesso che adotteresti per la sicurezza fisica della tua casa o del tuo
ufficio. Oltre a garantire un maggiore senso di sicurezza, questo consente di
proteggere le persone che visitano la tua casa, il tuo luogo di lavoro o il tuo sito
Web. È importante comprendere i rischi potenziali e quindi assicurarsi di essere
completamente protetti contro di essi. Nel mondo della tecnologia in rapida
evoluzione, non è sempre facile rimanere al passo con le innovazioni più recenti.
Per questa ragione è consigliabile rivolgersi a un'azienda che si occupa di sicurezza
in Internet con una solida reputazione.
L'obiettivo di questa guida è fare chiarezza sugli aspetti della tecnologia e
fornire le informazioni necessarie per prendere la decisione migliore in merito
alle opzioni di sicurezza online. Per un glossario dei termini, consulta “Dizionario
tecnico” alla fine di questo documento.
Cos'è un certificato SSL?
Un certificato SSL è un file digitale per computer (una piccola porzione di codice)
che ha due funzioni specifiche:
1. A
utenticazione e verifica: il certificato SSL contiene le informazioni
sull'autenticità di determinati dettagli riguardanti l'identità di una persona,
azienda o sito Web, che saranno visualizzate ai visitatori del sito Web quando
fanno clic sul simbolo del lucchetto o sul marchio di fiducia nel browser (ad
esempio, il simbolo Norton™ Secured). Il criterio di controllo utilizzato dalle
autorità di certificazione per determinare se un certificato SSL può essere
rilasciato è estremamente rigoroso per un certificato SSL Extended Validation
(EV), fattore che lo rende il più affidabile in circolazione.
SSL è l'acronimo di “Secure Socket
Layer”. Si tratta di una tecnologia
che stabilisce un collegamento di
sessione sicuro tra il browser Web
del visitatore e il tuo sito Web in
modo che tutte le comunicazioni
trasmesse su questo collegamento
siano crittografate e quindi sicure.
SSL viene inoltre utilizzata per
trasmettere in modo sicuro e-mail,
file e altri tipi di informazioni.
Invieresti a qualcuno informazioni
riservate o dati bancari sul retro di
una cartolina?
SSL crea una canale sicuro
e privato per consentirti di
comunicare.
2. C
rittografia dei dati: il certificato SSL abilita inoltre la crittografia: ciò significa
che le informazioni sensibili scambiate tramite il sito Web non possono essere
intercettate e lette da nessuno che non sia il destinatario previsto.
Analogamente al modo in cui un documento di identità o un passaporto può
essere rilasciato solamente da funzionari pubblici di un paese, l'affidabilità di un
certificato SSL è massima quando viene emesso da un'autorità di certificazione
attendibile. Le regole e le politiche che devono essere seguite dall'autorità di
certificazione per stabilire chi può ricevere o meno un certificato SSL sono
molto rigorose. Quando si dispone di un certificato SSL valido di un'autorità di
certificazione conosciuta, il grado di fiducia concesso da utenti, clienti o partner è
notevolmente maggiore.
Come funziona la crittografia SSL?
In modo simile alla chiusura e apertura delle porte con l'ausilio di una chiave, la
crittografia utilizza chiavi per bloccare e sbloccare le informazioni. Senza la chiave
giusta, non sarà possibile “aprire” le informazioni.
Ciascuna sessione SSL è composta da due chiavi:
• La chiave pubblica viene utilizzata per crittografare (scomporre) le informazioni.
• L
a chiave privata viene utilizzata per decrittografare (ricomporre) le
informazioni e ripristinarle nel formato originale in modo che possano
essere lette.
3
White paper: Guida introduttiva ai certificati SSL
Il processo: ogni certificato SSL viene rilasciato a un'organismo verificato
dall'autorità di certificazione per uno specifico server e dominio di sito Web
(indirizzo del sito Web). Quando una persona utilizza il proprio browser per
accedere all'indirizzo di un sito Web provvisto di un certificato SSL, ha luogo un
handshake SSL (sincronizzazione) tra il browser e il server. Al server vengono
richieste informazioni che sono quindi rese visibili nella finestra del browser della
persona. Alcuni cambiamenti visuali indicheranno l'avvio di una sessione sicura,
ad esempio la visualizzazione di un marchio di fiducia. Se si fa clic sul marchio di
fiducia, saranno visualizzate informazioni aggiuntive come il periodo di validità
del certificato SSL, il dominio protetto, il tipo di certificato SSL e l'autorità di
certificazione che l'ha emesso. Tutto questo significa che è stato stabilito un
collegamento sicuro per la sessione, con una chiave di sessione univoca, e che le
comunicazioni possono avere inizio.
Come sapere se un sito ha un certificato SSL valido?
1. U
n sito Web standard senza sicurezza SSL visualizza il prefisso “http:// ” prima
dell'indirizzo del sito Web nella barra degli indirizzi del browser. Questo prefisso
sta per “Hypertext Transfer Protocol”, e costituisce il metodo convenzionale per
trasmettere informazioni in Internet.
Invece, un sito Web che è protetto con un certificato SSL visualizzerà il prefisso
“https://” prima dell'indirizzo. Questo sta per “Secure HTTP”.
2. N
ella parte superiore o inferiore del browser Internet (a seconda di quello
utilizzato) si potrà inoltre notare il simbolo di un lucchetto.
3. S
pesso, si noterà anche un marchio di fiducia visualizzato nel sito stesso. I
clienti Symantec™ utilizzano sui propri siti Web il simbolo Norton Secured.
Quando si fa clic sul simbolo Norton Secured o sul lucchetto nella pagina,
verranno visualizzati i dettagli del certificato con tutte le informazioni
sull'azienda così come sono state verificate e autenticate dall'autorità di
certificazione.
4. F
acendo clic sul lucchetto chiuso nella finestra del browser, o su certi marchi di
fiducia SSL come il simbolo Norton Secured, il visitatore del sito Web visualizza
il nome dell'organizzazione autenticata. Nei browser ad alta sicurezza, il nome
4
White paper: Guida introduttiva ai certificati SSL
dell'organizzazione autenticata è ben visualizzato e la barra degli indirizzi
diventa di colore verde quando viene rilevato un certificato SSL Extended
Validation (EV). Se le informazioni non corrispondono, o se il certificato è
scaduto, il browser visualizza un messaggio di errore o un avvertimento.
Dove va utilizzato un certificato SSL?
La risposta breve a questa domanda è che un certificato SSL può essere utilizzato
ovunque si ritenga necessario trasmettere informazioni in modo sicuro.
Ecco alcuni esempi:
• Protezione delle comunicazioni tra un sito Web e il browser Internet degli utenti.
• Protezione delle comunicazioni interne in una intranet aziendale.
• P
rotezione delle comunicazioni e-mail inviate e ricevute da una rete (o un
indirizzo di e-mail personale).
• Protezione delle informazioni tra server (interni ed esterni).
• Protezione delle informazioni inviate e ricevute da dispositivi mobili.
Tipi di certificati SSL
Attualmente sul mercato sono disponibili diversi tipi di certificati SSL.
• I l primo tipo di certificato SSL è un certificato autofirmato. Come indica il nome,
si tratta di un certificato che viene generato a fini interni e non è rilasciato da
un'autorità di certificazione. Essendo generato dal proprietario stesso del sito
Web, il certificato non ha la stessa valenza di un certificato completamente
autenticato e verificato che viene rilasciato da un'autorità di certificazione.
• U
n certificato di dominio convalidato è considerato un certificato SSL entrylevel e può essere rilasciato rapidamente. L'unica verifica che viene eseguita è
garantire che il richiedente sia il proprietario effettivo del dominio (indirizzo del
sito Web) in cui deve essere utilizzato il certificato. Non vengono eseguiti altri
controlli per garantire che il proprietario del dominio sia un'entità aziendale
valida.
• U
n certificato SSL completamente autenticato è il primo passo per una reale
sicurezza online e per sviluppare la fiducia degli utenti. Questi certificati, la
cui procedura di rilascio richiede un po' più di tempo, vengono concessi solo
dopo che l'organizzazione ha superato un certo numero di procedure e controlli
di convalida per verificare l'esistenza dell'azienda, la proprietà del dominio e
l'autorità dell'utente a richiedere il certificato.
Tutti i certificati SSL Symantec sono completamente autenticati.
• A
nche se un certificato SSL è in grado di supportare la crittografia a 128 bit
o 256 bit, certi versioni precedenti di browser e sistemi operativi non sono
tuttora in grado di connettersi a questo livello di sicurezza. I certificati SSL
con una tecnologia denominata Server-Gated Cryptography (SGC) abilitano la
crittografia a 128 o 256 bit per oltre il 99,9% dei visitatori di siti Web. Senza
un certificato SGC sul server Web, i browser e i sistemi operativi che non
supportano la crittografia avanzata a 128 bit riceveranno solo la crittografia
a 40 o 56 bit. Gli utenti con versioni precedenti di browser e sistemi operativi
che visitano un sito Web con un certificato SSL abilitato SGC passeranno
temporaneamente alla crittografia a 128 bit. Per ulteriori informazioni su SGC
visita: www.symantec.it/ssl-certificates.
• Un nome di dominio viene spesso utilizzato con differenti suffissi host. Per
5
White paper: Guida introduttiva ai certificati SSL
questo motivo, è possibile utilizzare un certificato jolly che consente di fornire
sicurezza SSL completa a qualsiasi host di un dominio, ad esempio, host.tuo_
dominio.com (dove “host” varia mentre il nome di domino rimane invariato).
• S
imile al certificato jolly, ma leggermente più versatile, il certificato SSL SAN
(Subject Alternative Name) consente di aggiungere più di un dominio a un
singolo certificato SSL.
• I certificati di firma del codice sono progettati in modo specifico per garantire
che il software scaricato non sia stato manomesso lungo il percorso. Sono
molti i criminali informatici in circolazione che manomettono il software
disponibile in Internet. Essi possono allegare un virus o altro software nocivo a
un innocente programma che viene scaricato. Questi certificati assicurano che
questo non accada.
• I certificati SSL Extended Validation (EV) offrono il più elevato standard di
settore per l'autenticazione e forniscono il migliore livello di attendibilità a
disposizione per i clienti. Quando i clienti visitano un sito Web protetto con un
certificato SSL EV, la barra degli indirizzi diventa verde (nei browser ad alta
sicurezza) e viene visualizzato un campo speciale con il nome del proprietario
del sito Web insieme al nome del fornitore di sicurezza che ha emesso il
certificato SSL EV. Nella barra degli indirizzi viene inoltre visualizzato il nome
del possessore del certificato e l'autorità di certificazione che l'ha emesso.
Questa rassicurazione visiva ha contribuito ad aumentare la fiducia dei clienti
nell'e-commerce.
Dizionario tecnico
Crittografia: le informazioni vengono “scomposte” in modo che non possano
essere utilizzate da alcuno che non sia la persona a cui sono destinate.
Decrittografia: “ricomposizione” delle informazioni e ripristino del loro formato
originale.
Chiave: Una formula matematica, o algoritmo, che viene utilizzata per crittografare
o decrittografare le informazioni. Così come una serratura con molte combinazioni
è più difficile da aprire, una maggiore lunghezza della chiave, misurata in numero
di bit, rende molto più efficace la crittografia.
Browser: un programma software che viene utilizzato per accedere a Internet.
Esempi includono: Microsoft Internet Explorer (IE), Mozilla Firefox, Apple Safari,
RockMelt e Google Chrome.
6
White paper: Guida introduttiva ai certificati SSL
Conclusioni
La fiducia è l'elemento che fa la differenza nel mondo del business online.
L'investimento nella tecnologia per proteggere i clienti e guadagnare la loro
fiducia è un fattore cruciale per il successo di qualsiasi azienda che opera online o
ospita un sito Web di e-commerce. L'implementazione efficace di certificati SSL e
l'inserimento e l'utilizzo corretto dei marchi di fiducia sono strumenti consolidati
per instaurare la fiducia dei clienti.
Per ulteriori informazioni, visita il sito www.symantec.it/ssl-certificates.
*Include consociate, affiliate e rivenditori Symantec.
7
White paper: Guida introduttiva ai certificati SSL
Ulteriori informazioni
Visita il nostro sito Web
www.symantec.it/ssl-certificates
Altre informazioni
Per ulteriori informazioni sui certificati Symantec SSL, è possibile chiamare
il numero +353 1 850 2623 o inviare un’e-mail all’indirizzo:
[email protected]
Per parlare con uno specialista dei prodotti
telefona al numero +353 1 850 2623
Informazioni su Symantec
Symantec è leader globale nelle soluzioni per la sicurezza, lo storage e la gestione
dei sistemi con l'obiettivo di aiutare privati e organizzazioni a proteggere e
gestire le proprie informazioni. La nostra offerta di software e servizi consente
la protezione da più rischi in più punti, con maggiore completezza ed efficienza,
garantendo la sicurezza delle informazioni ovunque vengano utilizzate o archiviate.
Symantec SRL
Via Rivoltana, 2/d
20090 Segrate (MI)
www.symantec.it
© 2013 Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, il logo con un segno di spunta e il logo Norton Secured sono marchi o marchi registrati di Symantec Corporation o delle sue
affiliate negli Stati Uniti e in altri paesi. Altri nomi possono essere marchi dei rispettivi proprietari.

Download Report