Certificato SSL alla portata di tutti: questo è l’obiettivo che voglio perseguire dedicando questo post a tutti coloro che si trovano di fronte alla necessità e alla difficoltà di capire cosa sia un certificato SSL e di comprendere se sia veramente necessario per il proprio sito o portale. Voglio quindi chiarire questi due aspetti per poi andare alla scoperta delle diverse tipologie di certificati esistenti, permettendo così di scegliere in libertà il tipo di certificato che meglio si adatta alle proprie condizioni operative ed esigenze.
Certificato SSL: cosa e perchè?
Il primo dubbio da fugare riguarda il cos’è un certificato SSL e l’esigenza che ha portato alla nascita di questa tecnologia. Quando due computer comunicano fra di loro sulla rete internet è necessario che scambino informazioni delicate e private attraverso un sistema crittografato, che renda cioè le informazioni visibili solo al destinatario reale della comunicazione.
Per risolvere il problema, i ricercatori e gli scienziati appassionati di crittografia hanno sviluppato un sistema a chiave segreta o simmetrica che permetteva di codificare e decodificare le informazioni in modo da renderle criptiche o trasparenti a seconda di chi ne entrasse in possesso.
Questa tipologia di comunicazione impone che tanto il mittente, quanto il destinatario della comunicazione siano in possesso della chiave segreta di crittazione, pena l’impossibilità di cifrare o leggere il messaggio. Certo è che questa chiave non può essere scambiata sul web in chiaro, proprio per evitare che chiunque ne entri in possesso.
La soluzione al problema di come scambiare la chiave segreta di crittazione è quella di non scambiarla, ma di appoggiarsi a una chiave pubblica che permetta di cifrare le informazioni che potranno essere decifrate solamente con la chiave privata corrispondente. Questa idea ha portato però a un nuovo problema, risolto con l’uso di un certificato SSL.
In pratica è come se venissero scambiati due pacchi fra due utenti: l’utente A chiede all’utente B di inviare il suo lucchetto già aperto (chiave pubblica) in modo che l’utente A possa chiudere il pacco destinato all’utente B. Quando l’utente B riceve il pacco con il lucchetto che ha inviato all’utente A, per aprire il lucchetto deve usare la chiave che ha custodito gelosamente (chiave privata) e che è l’unica che gli permette di aprire il lucchetto che egli stesso ha inviato.
Questo meccanismo, però, ha un problema: chi garantisce all’utente B che il lucchetto lo sta inviando all’utente A e non a un altro utente che ha preso il posto di A in modo fraudolento? E lo stesso dubbio si potrebbe avere per la spedizione del pacchetto che A invia a B. Qui entra in gioco il certificato SSL.
Certificato SSL: gli attacchi MITM
Per evitare che qualcuno si possa interporre in modo fraudolento fra l’utente A e l’utente B entra il gioco il certificato SSL. Quando l’utente A chiede l’invio del lucchetto certifica la sua identità tramite un certificato apposito (detto certificato SSL) in modo che l’utente B possa non aver dubbi che si tratti davvero di una richiesta proveniente dall’utente A. In pratica, chiunque si ponga nel mezzo dello scambio, realizzando quello che in gergo tecnico è definito attacco MITM (Man In The Middle), non viene riconosciuto perché privo del corrispondente certificato, mettendo in guardia l’utente B dal condividere i propri dati.
A questo punto, ti domanderai: ma chi garantisce che il certificato SSL sia reale e non si tratti di una truffa? Al di sopra degli utenti A e B ci sono delle autorità certificatrici o CA (Certification Authority) che sono riconosciute a livello globale come le uniche autorizzate a rilasciare un certificato SSL valido. Queste società acquisiscono tutti i dati necessari per verificare la reale esistenza del soggetto che richiede il certificato e la sua buona fede nella raccolta dati sul web e dopo le dovute verifiche emettono un certificato SSL firmato con un sistema di crittografia a chiave asimmetrica (pubblica e privata).
Certificato SSL: ti serve davvero?
Capito cos’è, a cosa serve e da chi viene rilasciato un certificato SSL, starai ancora lì a domandarti se un certificato SSL ti è utile per il tuo sito web. La risposta è: dipende!
Se raccogli dati sensibili sugli utenti che navigano fra le tue pagine o effettui attività di ecommerce con tanto di supporto ai pagamenti tramite carta di credito, non puoi esimerti dall’integrare un certificato SSL nel tuo sito. È infatti una questione di sicurezza per i tuoi clienti e navigatori, che di fronte a una connessione sicura e protetta con un certificato SSL sono più propensi e fiduciosi nel compilare i form con i dati che richiedi, sapendo che verranno inviati in modo cifrato solo a te e che li conserverai in modo opportuno, ottemperando agli obblighi che la legge sulla privacy impone.
Con un certificato SSL ti identifichi come l’interlocutore sul web che dici di essere e garantisci all’utente un canale di comunicazione privilegiato e sicuro.
Certificato SSL: bisogna pagare?
Purtroppo si! Le attività svolte dagli enti certificatori di cui ti ho parlato prima sono costose e implicano quindi che i costi si riversino anche su chi decide di acquistare un certificato SSL. In realtà, esistono anche i certificati SSL autofirmati o self-signed che puoi generare con una tua chiave e sono gratuiti: questi sono però utili ai fini di test, in quanto pur essendo capaci di crittografare il traffico HTTP, non sono riconosciuti e obbligano i browser a mostrare un avviso di “sito non attendibile”.
Certificato SSL: quale scegliere?
Ora che sai se devi procurarti un certificato SSL e perché lo devi comperare, ti troverai di fronte a un altro problema: quale certificato SSL devi acquistare? In questa domanda è celata una difficoltà che non è tanto dovuta alla modalità di richiesta di un certificato SSL (che si acquista come qualsiasi altro prodotto sul web), quanto ai termini tecnici utilizzati nella pubblicazione delle offerte.
Certificato SSL Single Domain (SD) o Wildcard
La prima cosa su cui devi ragionare è la seguente: ti serve un certificato SSL solo per un dominio unico o anche per tutta una serie di sottodomini con cui stai lavorando? In pratica, se il tuo sito è www.esempio.com, vuoi che il certificato SSL sia valido solo per www.esempio.com o anche per store.esempio.com?
Se il certificato serve solo per il dominio principale, allora hai bisogno di un prodotto SSL Single Domain o SD. In questo caso risparmi parecchio rispetto ai costi tradizionali dei certificati SSL, ma al contempo sei limitato nella validità del certificato in sé, che è applicabile al solo dominio che hai indicato in fase di attivazione. Qualora invece ti sia necessario un certificato SSL che sia valido per il dominio e per tutti i sottodomini da esso dipendenti, allora devi rivolgerti a un prodotto Wildcard, con un esborso leggermente più elevato. Sia in un caso che nell’altro, comunque, i tuoi utenti vedranno nella barra del browser un lucchetto che identifica il tuo sito come sicuro, anche nello scambio delle informazioni tramite crittografia.
Considera anche che il prezzo di un SD o di un Wildcard dipendono non solo dalla tipologia di certificato in sé, quanto anche dall’eventuale copertura assicurativa che il certificato include contro i rischi di manomissione e invalidazione della certificazione. Molti provider, infatti, rimborsano eventuali manomissioni con un massimale (dai 10 mila ai 250 mila dollari), che indica la cifra che viene risarcita all’utente finale, qualora il certificato SSL non riesca a garantire quella sicurezza che ci si aspetta.
Certificato SSL EV o Extended Validated
Un’altra tipologia di certificato che potresti incontrare è quello EV o Extended Validated, a volte indicato anche come Domain Validated (DV) od Organization Validated (OV). Questo tipo di certificato SSL è molto più costoso di quelli che ti ho citato prima, ma non perché vari la tecnologia su cui si basa, quanto perché è più elaborato il percorso amministrativo e burocratico necessario per il rilascio del certificato.
In pratica, per i certificati SD o Wildcard, le aziende certificatrici procedono a una verifica breve dell’identità del richiedente, basata sul nome a dominio, sui dati del proprietario e, a volte, su un’email di verifica inviata al contatto amministrativo.
Nel caso di un certificato SSL EV, invece, la CA esegue un processo di validazione molto più complesso: l’azienda richiedente viene contattata personalmente e viene acquisita tutta una serie di documentazioni e pratiche burocratiche (oltre a un controllo sulle firme della persona richiedente) sulla base delle quali la CA decide se concedere o no il certificato. Tutto questo processo ha un costo notevole, che si riflette poi sul prezzo del certificato.
D’altra parte, a fronte di un esborso maggiore, il certificato SSL rilasciato è tale da far colorare la barra degli indirizzi del browser di verde, infondendo così maggiore sicurezza agli utenti del tuo sito.