Per chiunque voglia mettere al sicuro le informazioni del proprio sito o ecommerce, l’unico sistema davvero efficace è l’utilizzo di un certificato SSL. Certo però il solo acquisto da un ente certificatore non è sufficiente per considerarsi “al sicuro”.
Ecco alcuni dettagli da tenere in considerazione per sfruttare al meglio un certificato SSL e per assicurare al proprio sito la massima sicurezza.
Come installare un certificato SSL
Innanzitutto per installare un certificato SSL è necessario generare la chiave privata. Una volta creata, il passo successivo prevede la generazione della richiesta di firma del certificato (Certificate Signing Request) per il server su cui verrà installato.
La procedura di installazione vera e propria non è difficile ma deve essere svolta con molta attenzione perché un certificato installato male è un certificato inutile. Se non si ha familiarità con l’operazione può essere un’ottima idea quella di affidarsi a degli specialisti.
La criptazione si basa fondamentalmente su una chiave pubblica ed una chiave privata. Quest’ultima deve essere mantenuta segreta e deve essere utilizzata per crittografare tutti i dati del portale web. La chiave privata deve essere generata su un server affidabile e inoltre deve essere protetta con password.
Per garantire il più alto livello di sicurezza possibile un certificato non è tuttavia sufficiente. Spesso viene creata una catena di certificati (almeno tre) per confermare l’affidabilità del soggetto identificato dal certificato “finale”.
Massima sicurezza per il sito
L’algoritmo RSA è probabilmente il più utilizzato ma sta prendendo sempre più piede il cosiddetto algoritmo ECC che si basa sulle curve ellittiche. Approvato dal governo degli USA e dalla NSA, ECC consente di raggiungere un livello di sicurezza maggiore con minore richiesta di risorse.
Esiste una funzionalità, che non tutti i portali web utilizzano, che consente di proteggere ogni aspetto della user experience degli utenti sul sito web: Always On SSL. Grazie a questo strumento verranno rese più sicure attività come l’acquisto online, la ricerca e la condivisione di contenuti.
Il Public Key Pinning Extension for HTTP è progettato per permettere agli operatori di siti web di utilizzare uno strumento specifico per la definizione in modo tassativo delle CA che hanno autorizzazione a rilasciare certificati per i propri server.
La Perfect Forward Secrecy si basa sulla generazione di chiavi di sessione temporanee che verranno eliminate (e rese irrecuperabili) una volta terminato il loro utilizzo. Questo consente di ottenere una maggiore sicurezza rispetto agli algoritmi standard (come RSA).
HTTP Strict Transport Security impedisce le violazioni “man-in-the-middle” (utilizzate dai cracker per intercettare le richieste dei browser verso siti HTTPS) permettendo al server di inviare una richiesta al browser per la criptazione di tutte le connessioni.