Cos'è SSL?
Il protocollo SSL (Secure Sockets Layer) crea un collegamento criptato tra un browser e un server Web, in modo che tutti i dati che circolano tra di essi rimangano confidenziali. Pur essendo il predecessore del protocollo TLS (Transport Layer Security), il protocollo SSL è ad oggi più conosciuto e utilizzato.
Che cosa significa Secure Sockets Layer e perché è importante?
Innanzitutto, è bene conoscere la situazione antecedente all’introduzione del protocollo SSL nel 1995. In passato, quando il browser di un cliente era connesso al server di un’azienda, tutti i dati venivano trasmessi in formato di testo normale. Ciò significava che se un malintenzionato avesse intercettato i dati in transito, avrebbe potuto leggerli, inclusi i dati della carta di credito e qualsiasi altra informazione personale sensibile. Questo tipo di attacco era noto come "attacco man-in-the-middle" (uomo nel mezzo).
Per cercare di rimuovere questo "man" in modo permanente, negli anni '90 lo sviluppatore di browser Netscape ha creato un protocollo di sicurezza chiamato Secure Sockets Layer. L’obiettivo era di creare un protocollo che garantisse la privacy e l’integrità dei dati e offrisse un processo di autenticazione affidabile sia per l’utente del browser che per il proprietario del server (rispettivamente il cliente e l’azienda).
Il protocollo SSL è stato adottato dalle aziende di tutto il mondo per supportare e proteggere le comunicazioni dei propri clienti. E quel “man in the middle”? Se un hacker intercetta i dati trasmessi, il Secure Socket Layer si assicura che tutto ciò che vede sia un ammasso di caratteri confusi, impedendogli di agire.
Qual è la differenza tra SSL e TLS?
Per la maggior parte delle persone, non vi è una grossa differenza. Nel 1999 è stato introdotto il Transport Layer Security (TLS) per sostituire la crittografia SSL, che offriva funzionalità di sicurezza aggiornate:gestione delle vulnerabilità SSL note a determinati attacchi, introduzione di migliori algoritmi di crittografia, ecc. Anche se attualmente tutti i dispositivi utilizzano il TLS - tecnicamente, la crittografia SSL non è più disponibile - il termine SSL è ancora utilizzato dalla maggior parte del mondo IT e dai fornitori di certificazioni. Questo perché l’SSL è diventato parte integrante della sicurezza dei dati: per questo utilizziamo questo termine in questa pagina e nelle pagine prodotto, anche se in realtà ci riferiamo al TLS.
Come stabilire se un sito Web è protetto da crittografia SSL?
Esistono due indicazioni principali per riconoscere il certificato SSL. La prima è un'icona a forma di lucchetto nella finestra degli indirizzi del browser, in genere a sinistra dell'indirizzo Web. Cliccando su questo lucchetto si ricevono informazioni sulla versione del certificato SSL del sito. Si può anche visualizzare il certificato Secure Sockets Layer, inclusa la data di scadenza. Se è scaduto, significa che il protocollo SSL non è attivo ed è quindi raccomandabile allontanarsi dal sito. La seconda indicazione è la presenza di https:// al posto di ‘http:// all’inizio dell’indirizzo Web. La ‘s’ indica la presenza del protocollo SSL e che la connessione è protetta da SSL.
Come funziona il protocollo SSL?
Per garantire l'autenticità, il Secure Sockets Layer crea un processo di "handshake" tra il browser e il server quando si tenta di stabilire una connessione. Questo processo si articola in sei fasi:
1. Client hello
Il cliente utilizza il proprio browser per cercare di connettersi con il server SSL del sito dell'azienda. Prima che si verifichi una qualsiasi connessione, il browser richiede al server di identificarsi. Il client invia un messaggio “Client hello”.
2. Server hello
Per identificarsi nel browser, il sito Web invia i dettagli del certificato SSL e la chiave pubblica del server. Questo è il modo in cui il server risponde a sua volta con un messaggio "server hello".
3. Controllo del certificato
Il browser del sito Web autentica automaticamente il certificato in base a un elenco di autorità di certificazione Secure Sockets Layer affidabili per verificare il certificato SSL.
4. Chiave di sessione
Se il controllo del certificato SSL ha esito positivo, il browser sa che il server è attendibile e crea una chiave di sessione simmetrica tramite la chiave pubblica del server, che viene inviata al server.
5. Decrittografia della chiave
Il server del sito riceve la chiave di sessione e la decifra prima di inviare una conferma di ricezione, che viene anch’essa criptata usando la chiave di sessione del client.
6. Avvio della sessione
Una volta completato l’"handshake digitale", la sessione può iniziare ufficialmente con il trasferimento dei dati tra il browser del cliente e il server dell’azienda, ora criptato grazie all’SSL.
Perché un Secure Sockets Layer è importante per un’azienda?
Una parola: fiducia. L’SSL mostra ai clienti che la tua azienda prende sul serio la sicurezza dei dati. In questo modo, rafforzi la loro fiducia nei tuoi confronti e aumenti le possibilità che effettuino un ordine. Se un’organizzazione non dispone di un certificato, il cliente potrebbe avere l’impressione che i suoi timori e le sue preoccupazioni sulla sicurezza online non siano importanti per l’azienda: questo danneggia la reputazione dell’attività.
Inoltre, la certificazione SSL per la sicurezza garantisce la massima tranquillità. Il protocollo SSL riduce in modo significativo la possibilità che si verifichino violazioni dei dati e le possibilità di accesso da parte di utenti non autorizzati tramite tentativi di hacking, come il phishing.
Anche i motori di ricerca come Google considerano importante la presenza di SSL e tendenzialmente sposteranno le attività protette da SSL in cima ai risultati. Infine, ci sono i protocolli commerciali e normativi. Ad esempio, se un'azienda prevede i pagamenti con carta di credito sul proprio sito Web, è necessario il certificato SSL per soddisfare gli standard di sicurezza del settore, o PCI DSS.
Alcuni territori dispongono inoltre di normative che impongono alle aziende di adottare misure di sicurezza dei dati adeguate. La mancata adozione di queste misure espone l'azienda al rischio di conseguenze legali, incluse le sanzioni. In altre parole, la sicurezza e il protocollo SSL sono ormai fondamentali nell’epoca dell’e-commerce. Senza il supporto SSL, le aziende sono esposte a una serie di rischi finanziari, di sicurezza e di reputazione.
Quali sono i diversi tipi di SSL?
Dopo la risposta alla domanda "cosa significa SSL?", è arrivato il momento di approfondire i tipi di certificati disponibili. Esistono diversi certificati SSL a seconda della natura e delle esigenze dell'azienda. Ogni offerta Secure Sockets Layer richiede all'azienda di sottoporsi a un processo di verifica per dimostrare di essere proprietaria del dominio e, in alcuni casi, fornire informazioni dettagliate sull’organizzazione. I tipi di certificato includono:
Certificato SSL Extended Validation
Questa versione di Secure Sockets Layer è fondamentale per qualsiasi azienda che desidera dimostrare la legittimità del proprio sito Web per aumentare la fiducia dei visitatori. Per ottenerne uno, sarà necessario un test di verifica, per dimostrare che l’azienda è proprietaria del dominio che desidera certificare. Questo certificato SSL è fondamentale per qualsiasi azienda che deve gestire processi finanziari sul proprio sito Web o a raccogliere dati altamente sensibili.
Certificato SSL Organisation Validation
Questo tipo di Secure Sockets Layer non è adatto per le transazioni finanziarie, ma viene utilizzato per crittografare i dati delle attività degli utenti che si spostano tra il server e il browser Web.
Certificato SSL Domain Validation
Questa versione del certificato Secure Socket Layer offre solo una crittografia di basso livello e, dal momento che non si conosce chi o cosa riceve i dati crittografati, è un'offerta di base adatta solo a blog e siti Web personali. Chi invece ha bisogno di livelli di crittografia SSL molto elevati dovrebbe optare per un’altra soluzione.
Certificato SSL Wildcard Validation
Questo Secure Sockets Layer consente alle aziende di utilizzare lo stesso certificato SSL acquistato per il dominio per tutti i sottodomini. È un'alternativa più economica all'acquisto di un certificato per ogni sottodominio.
Certificato SSL Unified Communications
Questa versione di SSL fornisce un certificato SSL per più domini di proprietà di un'organizzazione. Con un unico certificato è possibile coprire fino a 100 domini.
Come ottenere un certificato SSL?
Per proteggere un certificato SSL in modo efficace, segui questi passaggi:
- Scegli la versione del certificato SSL di cui hai bisogno. Come spiegato in precedenza, ogni certificato risponde a un’esigenza diversa. Prima di fare una scelta, è fondamentale comprendere il concetto di SSL.
- Ottieni un paio di chiavi private e pubbliche, che possono essere generate sul tuo server. Le chiavi sono necessarie per la richiesta di firma del certificato (CSR), utilizzata per avviare il processo di certificazione SSL. Il CSR solitamente contiene il nome dell'azienda, la sua posizione, il tipo, la dimensione e il dominio.
- Invia il CSR a un'autorità di certificazione (Certificate Authority, CA), assicurandoti di sceglierne una affidabile. Una volta acquistato, segui le istruzioni della CA per installare il nuovo certificato Secure Sockets Layer sul server. Dopo aver caricato e testato il certificato, sarai pronto per iniziare.
- Indipendentemente dalla versione, tutti i certificati SSL hanno una data di scadenza: assicurati di verificarla. Se te ne dimenticassi, i clienti potrebbero ricevere messaggi di sicurezza nel browser, che indicano che il sito non è protetto da SSL, con conseguenze sulla tua reputazione.
OVHcloud e SSL
La sicurezza nel Cloud è di vitale importanza. Per questo motivo offriamo un accesso semplice e processi di convalida semplificati per tutti i requisiti del protocollo SSL. Ti consigliamo di scegliere l’offerta SSL più adatta alle tue esigenze. OVHcloud offre ai propri clienti altre funzionalità di sicurezza essenziali, che garantiscono la possibilità di usufruire dei processi di cybersicurezza più all’avanguardia per ogni parte dell’attività.
