Certificati SSL: cosa sono e come funzionano.  

I certificati SSL – acronimo di Secure Sockets Layer – servono per assicurare e proteggere le transazioni di dati, tra due nodi che comunicano attraverso una rete.

L’SSL codifica attraverso un algoritmo di cifratura le trasmissioni, in modo da rendere lo scambio di informazioni non accessibile a terze parti. Nel protocollo SSL infatti, ogni messaggio trasmesso server to client deve superare un controllo per l’integrità della crittografia stessa, prima di essere nuovamente trasmesso. Se questo controllo per qualsiasi ragione fallisce (ad esempio per corruzione o tentativo di intercettazioni dei dati) la trasmissione viene immediatamente bloccata.

Il certificato SSL contiene quindi informazioni univoche che possono essere consultate dal client ma mai modificate o contraffatte.

Cosa comportano le scelte di Google.

Come influisce quindi la scelta di Google di favorire i siti con protocollo HTTPS rispetto ai contenuti presenti  su una pagina con connessione HTTP?

Lato client, tutti gli utilizzatori di Chrome 56 vedranno apparire nella “barra degli indirizzi” vicino ai siti che non dispongo di protocollo HTTPS un triangolo rosso, una sorta di alert che segnalerà l’impossibilità di trasmettere dati tramite crittografia.

Il protocollo HTTPS diventerà quindi “de facto” l’unico modo per garantire la propria attendibilità su Chrome.

Quale certificato SSL implementare ?

Non è possibile affermare che una tipologia di certificato sia in assoluto meglio di un’altra, fattori quali “tipologia di certificazione”, “tipologia di copertura”, “chiave di cifratura”, “maggiore o minore compatibilità su clients e browser”, “costo annuale” possono indirizzare verso una tipologia di certificato piuttosto che un’altra.

A) Le tipologie di certificazione principali sono:

  • DV (Domain Validation) – questi SSL sono i più veloci e facile da emettere, in quanto certificano unicamente il protocollo SSL e che il richiedente sia effettivamente autorizzato a fare richieste per quel dominio.
  • OV (Organization Validation) – questi SSL vengono emessi in 2/3 giorni e l’Ente certificatore verifica attraverso procedure automatiche e/o manuali che il proprietario del dominio sia corrispondente con quello presente nei dati pubblici del whois.
  • EV (Enhanced Validation) – Sono gli SSL che evidenziano una barra verde sull’url del dominio all’interno dei browser – richiedono una validazione accurata da parte dell’ente certificatore, garantendo in questo caso non solo che il proprietario del dominio sia corrispondente con i dati pubblici del whois, ma che questi sia anche presente in determinate liste ufficiali, che faccia effettivo business con la ragione sociale indicata e che sia reperibile ai numeri e agli indirizzi pubblicamente indicati.

B) Le tipologie di copertura si riferiscono alla possibilità di un SSL di garantire:

  • Solo il dominio principale (domain.tld) e il relativo www (www.domain.tld) – SSL Standard
  • Anche tutti i sottodomini (*.domain.tld) – SSL Wildcard
  • Diversi domini o sottodomini dello stesso proprietario e/o sullo stesso server – Multidomain (UCC, SAN, MDC)

C) Le chiavi di cifratura moderne garantiscono la criptazione delle comunicazioni sempre a 128 o 256-bit e sono questi i requisiti minimi che ci attendiamo da un certificato SSL.

D) La compatibilità con i browser è una caratteristica importante e dovrebbe essere garantita una compatibilità su almeno il 99% dei Browser includendo anche i più obsoleti.

E) Il costo annuale di un SSL è quindi una logica conseguenza delle caratteristiche sopra indicate e può ovviamente dipendere anche dal Brand dell’ente certificatore.

Un esempio pratico

Analizzando l’esigenza da un punto di vista pratico ad esempio di un e-commerce Magento, perché acquistare un SSL e quale ?

La pura garanzia di criptazione e sicurezza sui dati transati, per un e-commerce può essere ovviamente più importante se il merchant gestisce autonomamente le transazioni di pagamento con carta di credito invece di usare gateway di terze parti (es: PayPal)

Anche se non vengono gestiti pagamenti diretti ci sono però altri ottimi e convincenti motivi per attivare un SSL:

  • Maggiori performance SEO (come da recenti indicazioni di Google)
  • Scongiurare l’avviso su Chrome e altri browser di “sito insicuro” (come da recenti indicazioni di Chrome)
  • Garantire i propri utenti sull’identità del merchant in modo da rassicurarli nella procedura di acquisto

Per queste ragioni consiglieremmo l’acquisto di un certificato almeno di tipo OV (Organization Validation) meglio se di tipo EV (Enhanced Validation) in modo che la “barra verde” sul browser sia immediata garanzia per l’acquirente e della sicurezza dei propri dati e della veridicità del Merchant.
I certificati SSL di Semplify

Rivolgiti a Semplify come partner per la scelta del tuo certificato SSL

Per i certificati più “semplici” di tipo DV (Domain Validation) l’emissione avviene in pochi minuti e con verifica automatica, senza complicazioni cartacee e con il massimo livello di sicurezza (2048 bit digital signatures, fino a 256 bit encryption).

Per esigenze più complesse contattaci per essere guidato nella scelta più indicata.

Richiedi informazioni

Il tuo nome (richiesto)

La tua email (richiesto)

Oggetto

Il tuo messaggio

Ho preso visione della privacy policy ed acconsento al trattamento dei dati