Cos'è l'SSL? La tua guida per siti Web sicuri

Pubblicato: 2024-06-21

Sommario
Cos'è l'SSL?
Cosa sono i protocolli SSL e TLS? Sono gli stessi?
Come funziona SSL/TLS?
Cos'è un certificato SSL?
Quali sono i diversi tipi di certificati SSL?
Come si ottiene un certificato SSL?
Certificati SSL gratuiti, Let's Encrypt: cosa sono i certificati Let's Encrypt
Come posso verificare l'SSL di un sito web?
Riepilogo

Avrai notato che alcuni siti web iniziano con HTTP e altri con HTTPS (generalmente indicato da un testo verde con un lucchetto, soprattutto quando stai tentando di accedere a un sito web sensibile o a una pagina di pagamento).

website URL starts with HTTPS
L'URL del sito web inizia con HTTPS

Ti sei mai chiesto perché succede e cosa significa? Bene, questa "s" extra in HTTP indica che il sito web a cui stai tentando di accedere è sicuro e che tutta la trasmissione dei dati è crittografata grazie alla crittografia SSL.

Vediamo di più su questo e proviamo a rispondere a tutte le tue domande e dubbi in questo post completo.


Cos'è l'SSL?

SSL o Secure Socket Layer è una tecnologia di sicurezza standard che utilizza uno speciale protocollo di sicurezza basato sulla crittografia per stabilire una connessione crittografata tra un server e il client. O tra un server Web e un browser o tra un server di posta e un client di posta elettronica.

Questa tecnologia di crittografia garantisce che tutta la trasmissione o comunicazione di dati tra il server web e il client rimanga privata e integra.

Introdotto per la prima volta nel 1995 da Netscape, SSL mirava a proteggere le comunicazioni Internet, proteggere la privacy e garantire l'autenticazione e l'integrità dei dati.

Ora utilizziamo una versione avanzata di SSL, nota come TLS o Transport Layer Security Encryption.


WPOven Dedicated Hosting

Cosa sono i protocolli SSL e TLS? Sono gli stessi?

SSL e TLS sono entrambi protocolli Internet crittografici standard, sviluppati appositamente per fornire comunicazioni sicure e crittografate sulla rete di computer.

SSL è un predecessore o una versione più avanzata di TLS sviluppata dalla Internet Engineering Task Force nel 1999. Inizialmente era chiamato SSL 3.1 ma dopo piccoli miglioramenti e miglioramenti alla sicurezza e alle prestazioni definito TLS.

SSL presenta alcuni difetti e vulnerabilità che possono mettere a rischio qualsiasi sito Web. Anche le versioni SSL 2.0 e SSL 3.0 sono state etichettate come non sicure e non se ne consiglia più l'uso.

TLS ha individuato questi punti deboli e vulnerabilità di SSL e ha ideato un metodo di crittografia più raffinato e potente. Allo stato attuale, TLS 1.2 e 1.3 sono considerate le versioni più sicure e ampiamente utilizzate oggi.

Certo, ecco una rapida tabella di confronto che ti aiuterà a comprendere meglio le differenze tra SSL e TLS:

Caratteristica SSL TLS
Nome e cognome Livello socket protetto Sicurezza del livello di trasporto
Sviluppato da Netscape Task Force di ingegneria di Internet (IETF)
Stato attuale Deprecato Attivo
Ultima versione SSL3.0 TLS 1.3
Sicurezza Vulnerabile (SSL 2.0 e SSL 3.0 sono considerati non sicuri) Più sicuro, con miglioramenti continui in ogni versione
Algoritmi di crittografia Supporta algoritmi più vecchi e meno sicuri Supporta algoritmi più nuovi e più potenti
Efficienza della stretta di mano Più passaggi, meno efficienza Snello, più efficiente
Ripresa della sessione Capacità limitate Meccanismi avanzati (ticket di sessione, identificatori di sessione)
Protocollo di registrazione Meno efficiente e flessibile Prestazioni e sicurezza migliorate
Utilizzo nella pratica Usato raramente, considerato obsoleto Ampiamente utilizzato, standard per comunicazioni sicure
Retrocompatibilità Compatibile con i sistemi più vecchi Può funzionare con versioni SSL precedenti ma preferisce algoritmi e protocolli sicuri
Certificati digitali Utilizza tipi di certificato precedenti Utilizza tipi di certificati moderni e supporta funzionalità aggiuntive come la pinzatura OCSP
Differenza tra SSL e TLS

Come funziona SSL/TLS?

SSL/TLS utilizza la tecnologia basata su certificati per stabilire una connessione crittografata tra un server e un client.

Questo certificato contiene una chiave pubblica, che aiuta a verificare che il sito Web sia affidabile e consente la crittografia dei dati. Ciò significa che le informazioni vengono trasformate in un codice speciale utilizzando la crittografia che gli altri non possono leggere facilmente. Solo il server dispone della chiave privata corrispondente, che viene mantenuta segreta, per decodificare le informazioni.

Working of SSL
Funzionamento di SSL

Ecco come funziona l'intera crittografia SSL/TLS:

1. Quando provi ad accedere a una parte sicura del sito web, ad esempio la pagina di pagamento o di accesso. Il server del sito web invia il suo certificato SSL al tuo browser.

2. Questo certificato contiene una chiave pubblica che aiuta a identificare il server.

3. Successivamente il tuo browser verifica se il certificato è valido e autentico. (Questo passaggio aiuta a verificare se il server è autentico e non un impostore)

4. Quando la verifica ha esito positivo, il tuo browser crea una chiave piccola e temporanea, chiamata anche chiave di sessione simmetrica, per crittografare i dati che verranno inviati durante la sessione.

5. Ora il tuo browser crittografa questa chiave di sessione con la chiave pubblica del server (dal certificato) e la invia al server. (Questo passaggio è importante per assicurarsi che solo il server possa leggere la chiave di sessione.)

6. Successivamente il server utilizza la propria chiave privata per decrittografare la chiave di sessione.

7. Ora, sia il browser che il server utilizzano la chiave di sessione simmetrica per crittografare e decrittografare tutti i dati scambiati tra di loro. (Ciò garantisce che i dati rimangano privati ​​e sicuri). Questo processo è chiamato handshake SSL/TLS. Imposta un canale sicuro e crittografato tra il tuo browser e il server senza condividere informazioni sensibili in modo non sicuro.

Ora è pronto per trasmettere i dati sul web ed è tutto crittografato rendendolo illeggibile a chiunque tenti di intercettarlo. Inoltre, SSL/TLS firma digitalmente i dati per assicurarsi che non siano stati manomessi e per mantenere l'integrità dei dati.


Cos'è un certificato SSL?

SSL può essere utilizzato solo quando sui siti Web è installato un certificato speciale, ad esempio il certificato SSL. Questo certificato è un piccolo file di dati che aiuta a stabilire una connessione sicura tra il server e il browser per condividere i dati in privato.

È uguale alla tua carta d'identità che contiene tutte le tue informazioni vitali che ti aiutano nella tua identificazione.

Componenti del certificato SSL:

  • Chiave pubblica : questa chiave viene utilizzata per crittografare i dati ed è inclusa nel certificato SSL. È condiviso pubblicamente con chiunque visiti il ​​sito web.
  • Chiave privata : viene utilizzata per decrittografare i dati crittografati con la chiave pubblica. Viene mantenuto segreto e archiviato in modo sicuro sul server web.
  • Autorità di certificazione (CA) : una fonte attendibile che emette certificati SSL. Queste CA includono organizzazioni come DigiCert, Let's Encrypt e Comodo. Questa autorità è responsabile della verifica dell'identità del richiedente del certificato prima di emettere un certificato SSL.
  • Dettagli inclusi nel certificato SSL :
    • Il nome di dominio per il quale viene rilasciato il certificato.
    • L'entità a cui viene rilasciato il certificato.
    • La CA emittente.
    • La firma digitale della CA.
    • Il periodo di validità del certificato (date di inizio e di scadenza).
    • La chiave pubblica.
    • Informazioni aggiuntive come il tipo di certificato e la sua destinazione d'uso.

Perché i certificati SSL sono importanti:

  • Sicurezza : protegge i dati sensibili durante la trasmissione, prevenendo accessi non autorizzati e violazioni dei dati.
  • Fiducia : crea fiducia con gli utenti garantendo loro che i loro dati sono al sicuro. I siti Web con certificati SSL sono contrassegnati come sicuri dai browser.
  • Vantaggi SEO : i motori di ricerca come Google migliorano il ranking dei siti Web abilitati HTTPS.
  • Conformità : soddisfa i requisiti normativi per la protezione dei dati in molti settori.

Quali sono i diversi tipi di certificati SSL?

SSL non è limitato solo a un tipo di sicurezza specifico. SSL si riferisce a una gamma di certificati. Esistono vari tipi di certificati SSL reperibili su Internet. Questi sono:

  • Certificato SSL a dominio singolo

Dal nome stesso puoi facilmente identificare di che tipo di certificato SSL si tratta. Il certificato SSL è responsabile della protezione di un solo dominio. Ad esempio, se il certificato viene emesso per il dominio "WPOven.com", si applica solo a esso, non ai suoi sottodomini come "blog.wpoven.com" o a qualsiasi altro dominio come "example.com.

  • Certificato SSL con caratteri jolly

Proprio come un certificato SSL a dominio singolo, si applica a un singolo dominio, ma c’è un problema. Si applica a tutti i sottodomini creati con lo stesso nome di dominio.

Ad esempio, se il certificato SSL viene emesso per il dominio "WPOven.com", si applicherà anche ai suoi sottodomini come "blog.wpoven.com" e "shop.wpoven.com.

  • Certificato SSL multidominio o per comunicazioni unificate

Il nome stesso indica che lo stesso singolo certificato SSL può essere emesso a più domini diversi o uguali.

Questi certificati sono particolarmente utili per le organizzazioni che gestiscono più domini e sottodomini, come quelle che utilizzano ambienti Microsoft Exchange e Office Communications.

Questi possono essere molto convenienti, fornire maggiore sicurezza e offrire molti altri vantaggi. Possono coprire fino a 100 domini con un unico certificato.

  • Certificato SSL a convalida estesa (EV) :

Il primo tipo di certificato SSL trovato oggi è il certificato SSL a convalida estesa. In questo tipo di certificato, l'autorità di certificazione verifica i diritti del richiedente di utilizzare un determinato dominio. Il certificato SSL a convalida estesa conduce un controllo completo e approfondito dell'organizzazione.

Il processo di emissione del certificato SSL EV è definito in modo abbastanza rigoroso nelle linee guida dell'EV. Questa linea guida descrive tutti i requisiti per una CA prima che venga emesso un certificato.

Queste linee guida sono:

  • Verificare l’esistenza fisica, giuridica e operativa dell’entità
  • Verificare che l'entità abbia organizzato in modo accurato le emissioni del certificato SSL EV
  • Verificare che l'identità dell'entità corrisponda ai registri ufficiali
  • Verifica che l'entità disponga dei diritti sul dominio specificato nel certificato SSL EV

Il certificato SSL EV è disponibile praticamente per qualsiasi tipo di azienda. Dagli enti governativi alle società costituite e alle aziende, i certificati possono essere utilizzati da chiunque.

  • Certificato SSL di convalida organizzativa (OV).

Il secondo tipo di certificato disponibile e ampiamente utilizzato è il certificato SSL OV. In questo certificato la CA verifica il diritto del richiedente ad utilizzare un determinato dominio.

Inoltre, effettua anche alcuni controlli sulla società. Ai clienti vengono fornite anche altre informazioni aziendali controllate quando utilizzano il sigillo del sito sicuro.

Il certificato OV offre una maggiore visibilità dietro coloro che sono associati al sito.

  • Certificato SSL di convalida del dominio (DV).

D'altra parte, se parliamo di certificati, allora Certificato SSL di convalida del dominio è un nome che non possiamo dimenticare. Nel certificato di convalida del dominio, la CA verifica i diritti del richiedente all'utilizzo di un determinato nome a dominio.

Tuttavia, per quanto riguarda l'identità o le informazioni dell'azienda, non viene visualizzata alcuna informazione. Le uniche informazioni fornite sono le informazioni crittografate che vengono archiviate in un sigillo sicuro del sito.

I tre precedenti sono i tipi più comuni di certificati SSL trovati e utilizzati oggi. Tuttavia, un altro nome che sta emergendo è Let's Encrypt.


Come si ottiene un certificato SSL?

Prima di tutto, devi decidere quale tipo di certificato SSL è più adatto al tuo business online o al tuo sito web.
Sebbene un certificato SSL standard sia sufficiente per fornire protezione, se il sito Web opera in un settore di nicchia regolamentato come quello finanziario o assicurativo, potrebbe richiedere un certificato SSL personalizzato. È meglio consultare il proprio team IT per determinare l'opzione più adatta.

Il costo di un certificato SSL può variare a seconda del provider e dei requisiti del tuo sito web. Tuttavia, sono disponibili anche molte opzioni gratuite.

Alcune società di web hosting forniscono SSL gratuito con i loro piani, come WPOven . Anche Cloudflare ti fornisce un SSL/TLS gratuito con un solo clic.

Inoltre, Let's Encrypt fornisce anche certificati SSL gratuitamente. Ma sarebbe meglio impostarlo e configurarlo dal tuo team IT o chiedere aiuto a esperti tecnici.


Certificati SSL gratuiti, Let's Encrypt: cosa sono i certificati Let's Encrypt

Let's Encrypt è un'autorità di certificazione lanciata nell'aprile 2016. Il certificato fornisce certificati X.509 gratuiti per la crittografia TLS (Transport Layer Security) attraverso un processo automatizzato progettato per eliminare i complessi processi esistenti di convalida, firma e creazione manuale , installazione e rinnovo dei certificati per i siti web di sicurezza.

Le parti coinvolte in Let's Encrypt o diciamo Let's Encrypt è un servizio fornito dall'ISRG (Internet Security Research Group), un'organizzazione di pubblica utilità.

I principali sponsor del certificato includono Electronic Frontier Foundation, Mozilla Foundation, Cisco Systems e Akamai.

Nel giugno 2015, Let's Encrypt è riuscito a generare un certificato root RSA con la chiave privata archiviata su un determinato modulo di sicurezza hardware mantenuto offline. Il certificato radice viene utilizzato per firmare 2 diversi certificati intermedi che vengono firmati in modo incrociato da IdenTrust.

Uno di questi certificati intermedi viene utilizzato per firmare il certificato fornito ed emesso, mentre l'altro viene mantenuto offline per utilizzarlo come backup nel caso in cui si verifichi un problema con il primo certificato intermedio.


Come posso verificare l'SSL di un sito web?

Quando visiti un sito Web in cui è abilitata la sicurezza SSL, all'interno dei browser vengono visualizzati alcuni indicatori visivi.

1. L'URL inizierà con "://HTTPS" anziché "://http".

2. Viene visualizzata l'icona di un lucchetto insieme all'URL nella barra degli indirizzi del browser.

L'icona di un lucchetto apparirà all'estrema sinistra dell'URL del sito web.

3. Il certificato è risultato valido.

È possibile che anche se il tuo sito web mostri "://HTTPS" o l'icona del lucchetto, il certificato SSL possa ancora non essere valido o scaduto.

Il browser ti avviserà e chiederà anche alcune informazioni da parte tua. In tal caso, dovresti eseguire ulteriori indagini e verificare la validità SSL del sito Web semplicemente facendo clic sull'icona "visualizza informazioni sul sito" nel browser Chrome, come mostrato di seguito:

Padlock icon showed with the websites
L'icona del lucchetto viene visualizzata con i siti Web

4. Puoi anche utilizzare il semplice strumento di controllo SSL gratuito di WPOven.


Riepilogo

SSL/TLS fornisce un livello di sicurezza fondamentale nelle comunicazioni Internet, il che significa che almeno un sito Web di base deve avere questa funzionalità di sicurezza abilitata. Anche se sembra molto semplice, è uno dei sistemi di sicurezza più potenti che previene il furto di dati e le violazioni della privacy.

Non devi optare per funzionalità SSL fantasiose o costose; anche uno standard può fare il lavoro. Sono disponibili numerosi fornitori di certificati SSL gratuiti e tutto ciò che devi fare è rinnovarli di volta in volta.

Tuttavia, ottenerlo da terze parti ha i suoi svantaggi. Puoi facilmente evitarlo semplicemente optando per un host web che fornisce SSL gratuito nei propri piani di hosting, proprio come quello offerto da WPOven.

Se hai domande o suggerimenti riguardanti SSL, faccelo sapere nella sezione commenti qui sotto: