Fino a qualche tempo fa, creare un sito web senza disporre di alcun
certificato SSL era un’opzione abbastanza comune, sia per le piccole aziende che per i privati. Da diversi anni, però, la tendenza è cambiata: il numero di certificati SSL è cresciuto, e per chi gestisce uno o più siti web, accedere a questo tipo di risorse è molto più semplice.
Ma a cosa è dovuta questa nuova tendenza? A cosa servono questi certificati? E sono tutti uguali? Nel seguito di questo articolo cercheremo di fare chiarezza, rispondendo proprio ad ognuno di questi dubbi.
Che cos’è un certificato SSL?
Prima di iniziare, è bene introdurre l’argomento con un brevissimo excursus sui certificati SSL. In generale, un
certificato digitale non è altro che un documento elettronico in grado di attestare un’associazione univoca tra una chiave privata (utilizzata generalmente come parte di un algoritmo di crittografia), e l’identità di un soggetto (che può essere una persona fisica o un’organizzazione). Si può immaginare di accostare la funzione del certificato digitale a quella della carta d’identità. Quest’ultima è infatti univoca, e viene rilasciata solo dopo che un ente (il comune) ha verificato l’identità della persona. Una volta ottenuta la carta d’identità, sarà cura della persona custodirla in un posto sicuro per evitarne il furto o l’utilizzo non voluto. Esibire la carta d’identità (ed analogamente un certificato digitale) permetterà di identificare correttamente il soggetto (persona fisica o digitale, a seconda delle due declinazioni appena viste).
I
certificati SSL (o, più propriamente,
TLS) sono utilizzati come parte di un protocollo di rete che aggiunge la sicurezza della crittografia alle comunicazioni tra client e server sul web. In particolare, esistono certificati SSL nelle versioni client e server: i primi servono ad autenticare l’individuo, i secondi (che sono quelli a cui ci riferiremo d’ora in avanti in questo articolo) permettono di garantire la sicurezza della comunicazione. Proprio tale livello di sicurezza aggiuntivo è ciò che permette di implementare il noto protocollo
HTTPS, che è oggi alla base di ogni transazione online sicura, proprio al fine di proteggere il transito di eventuali dati sensibili.
Non ci dilungheremo più di tanto in questa sede sui dettagli (per i quali rimandiamo a
questo articolo), limitandoci solo a sottolineare come il rilascio di un certificato si basi sull’affidabilità di un ente che lo emette, e ne garantisce l’autenticità. Tale ente è la
Certification Authority (spesso abbreviata come
CA), e ne esistono molte. Tra queste vi è
Actalis, la CA del gruppo
Aruba (unica italiana, ed una delle 2 sole CA europee), tramite cui è possibile ottenere certificati di vario tipo.
Scopriremo i vari tipi di certificati più avanti in questo articolo. Prima, però, cerchiamo di capire perché è fondamentale ed indispensabile installare un certificato SSL sui propri siti web.
Perché installare un certificato SSL sui propri siti web?
Ci sono sostanzialmente due motivi principali che dovrebbero spingere qualsiasi gestore di siti web ad installare un certificato SSL su ognuno dei propri siti: la
sicurezza, il
posizionamento sui motori di ricerca e
la percezione di affidabilità che restituisce ai visitatori di quei siti.
Dopo quanto detto in merito all’importanza dei certificati SSL, dovrebbe essere chiaro che, nel caso in cui dovessimo richiedere dati personali, oppure implementare un meccanismo di login con username e password, non potremmo prescindere da una
connessione protetta, e quindi dal protocollo HTTPS ed il certificato ad esso connesso.
Non è un caso se moltissimi browser, oggi, segnalano con particolare evidenza la presenza o meno di un certificato sul sito che si sta visitando. Di recente, il team di Mozilla ha addirittura introdotto su Firefox una
modalità HTTPS-only, che impedisce del tutto agli utenti di visualizzare pagine web non sicure, ovvero non protette dalla sicurezza garantita da un certificato SSL. Sebbene questa opzione possa, ad oggi, sembrare piuttosto estrema, non è da escludere che, in un futuro non molto lontano, essa possa rappresentare una situazione di normalità.
Ai problemi di sicurezza, si aggiungono anche quelli legati
all’ottimizzazione del posizionamento sui motori di ricerca (
Search Engine Optimization, o
SEO). Da molti anni, infatti, gran parte dei motori di ricerca – primo fra tutti Google – ha iniziato ad attuare politiche di posizionamento che premiano significativamente i siti che supportano HTTPS, a discapito di chi non offre un livello di sicurezza opportuno. È quindi evidente che una qualsiasi azienda che voglia essere facilmente “trovata” nelle ricerche più correlate alla propria mission non può prescindere dal dotarsi di un certificato SSL. E probabilmente, dovrà optare per quello più opportuno.
I certificati SSL sono tutti uguali?
Esistono diversi tipi di certificati SSL. Il più semplice tra tutti è il cosiddetto certificato
self-signed, ovvero un certificato che viene “firmato” dallo stesso gestore del sito. L’uso di questi certificati non solo è
sconsigliato, ma è anche fortemente
penalizzato da browser e motori di ricerca. Infatti, la maggior parte dei browser moderni impedisce all’utente la visualizzazione dei siti che utilizzano certificati di questo tipo, dal momento che chiunque può crearne uno, senza la necessaria garanzia fornita da una CA affidabile.
Chiarita quindi l’assoluta inappropriatezza dei certificati self-signed in ambienti di produzione, vediamo quali sono i principali tipi di certificati SSL disponibili.
Domain Validation
I certificati SSL
Domain Validation (DV) sono quelli più semplici. Il rilascio di un certificato di questo tipo viene effettuato con il solo scopo di verificare che il dominio ed il certificato siano gestiti dalla stessa persona/organizzazione. In altre parole, l’unica cosa che questo certificato garantisce è che il dominio sia controllato da chi ha richiesto il certificato. Ha il pregio di essere una delle soluzioni generalmente più economiche, ma al tempo stesso presenta tutti i limiti derivanti da una verifica molto basilare sulla proprietà del dominio. Di conseguenza, sebbene sia generalmente sufficiente per superare i problemi descritti in precedenza (sicurezza delle comunicazioni e posizionamento sui motori di ricerca), può risultare limitante per la percezione degli utenti di quel sito, poiché non c’è alcun riferimento all’organizzazione che lo possiede.
Organization Validated
I certificati SSL
Organization Validated (OV) non si limitano semplicemente a verificare il possesso del dominio, ma aggiungono a tale informazione anche il nome dell’organizzazione che li richiede. Il maggior numero di informazioni contenute nel certificato fa sì che la
reputazione del sito sia superiore, consentendo un maggior livello di affidabilità e sicurezza agli utenti. Questo tipo di certificato è generalmente meno economico di un certificato DV, in quanto richiede un processo di verifica più articolato. Di norma, la CA richiede una serie di documenti all’organizzazione, in modo da poterne verificare l’identità.
Extended Validation
I certificati SSL
Extended Validation (EV) rappresentano il livello più alto di reputazione che un sito web può ottenere tramite certificato digitale. Le informazioni contenute nel certificato sono più o meno le stesse contenute in un certificato OV, ma la verifica dell’identità dell’organizzazione avviene con strumenti legali più forti, che riguardano anche il firmatario.
Altre caratteristiche dei certificati SSL
Oltre alle caratteristiche appena elencate, molte CA offrono anche la possibilità di ottenere
certificati utilizzabili su più domini. Se gestiamo siti che utilizzano più sottodomini (ad esempio
shop.miosito.it,
blog.miosito.it, ecc…), oppure più domini di primo livello (ad esempio
www.miosito.it e
www.miosito.com), dovere richiedere ogni volta un nuovo certificato potrebbe portare a lungaggini burocratiche legate alle verifiche necessarie, nonché a maggiori costi. In queste situazioni, potrebbe essere più utile acquistare
certificati SAN (
Subject Alternative Names), o wilcard in grado di coprire rispettivamente più domini o più sottodomini.