Gestire un sito web è un'attività piuttosto complessa, ed è possibile identificare diversi gradi di complessità, secondo vari punti visita. Dal punto di vista del contenuto, è facile convincersi della grande differenza tra la gestione dei contenuti di un portale di e-commerce, rispetto a quella necessaria per un sito vetrina statico, piuttosto che un blog personale.
Questa complessità è analogamente variabile anche per chi si occupa della gestione tecnica del sito. Implementare un piccolo sito statico è cosa ben diversa rispetto all'implementazione di un portale con domini multipli, che deve supportare grandi traffici.
Tale complessità di gestione ha a che fare anche con la
sicurezza, e quindi con i
certificati SSL. Abbiamo spiegato in un
precedente articolo cos'è un certificato SSL e come funziona, ed abbiamo anche visto che esistono diversi tipi di certificati SSL. Ma
quale certificato SSL dobbiamo scegliere per il nostro sito web?
In questo articolo cercheremo di fornire alcuni consigli sulla scelta dei certificati SSL più adatti alle varie esigenze, servendoci di alcuni casi d'uso ed esempi pratici.
Certificati SSL: devo proprio?
Prima di cominciare a chiedersi quale certificato SSL scegliere, è conveniente chiedersi se questo tipo di documento digitale ci è effettivamente utile. Nella stragrande maggioranza dei casi, la risposta a questo quesito è che sì,
il certificato SSL è assolutamente utile.
Da diversi anni, infatti, Google ed altri motori di ricerca hanno implementato politiche che favoriscono i siti web che utilizzano i certificati SSL ed il
protocollo HTTPS. Ciò significa che, nonostante lo scopo originario di questi certificati fosse unicamente quello di mettere in sicurezza le comunicazioni tra client e server, oggi anche l'
ottimizzazione del posizionamento sui motori di ricerca (SEO) necessita dei certificati SSL e della loro opportuna installazione.
Di conseguenza, sono veramente rari i casi in cui si può decidere di non usare un certificato SSL.
Quale certificato SSL per un piccolo sito personale?
Se abbiamo deciso di implementare un sito web personale, magari un blog o una vetrina senza troppe pretese per una piccola attività commerciale, avremo certamente bisogno di un certificato SSL. In questa situazione, il più delle volte potremo fare affidamento ai servizi offerti dal nostro provider che ci fornisce lo spazio di hosting per il nostro sito. Aruba, ad esempio, include un
certificato SSL di tipo Domain Validation (DV) all'interno dei principali pacchetti di hosting, sia Linux che Windows.
Questa opzione ha il vantaggio di renderci tutto più semplice perché, il certificato SSL DV incluso nell’hosting di Aruba, è già attivo e non ci viene richiesta nessuna ulteriore azione.
Se invece il nostro sito è su un altro provider hosting,
il certificato SSL DV si può anche facilmente acquistare e attivare in poco tempo. L'attivazione può richiede da qualche minuto ad alcune ore al massimo, e può essere effettuata semplicemente tramite email. Questo tipo di certificato è
molto economico, adatto quindi a chi vuole risparmiare senza avere grandi pretese. Il certificato DV, infatti, si limita a garantire che quest’ultimo sia stato emesso all’amministratore che ha registrato e che gestisce il dominio. Per questo motivo, la procedura per ottenerlo è abbastanza rapida e non complicata.
Quale certificato SSL per un sito di e-commerce?
Dietro all'economicità e semplicità del certificato SSL DV si celano alcuni svantaggi. Questi svantaggi sono poco significativi per i piccoli siti, ma possono invece rivelarsi molto importanti per situazioni diverse, come la gestione di un sito di e-commerce o di portali più complessi. Infatti,
il livello di sicurezza offerto dal certificato DV non è lo stesso di quello garantito dai certificati
Organization Validated (OV) o Extended Validation (EV), e ciò potrebbe scoraggiare potenziali acquirenti ad effettuare transazioni. Vista la facilità con cui si può ottenere un certificato DV, non è infatti difficile immaginare uno scenario in cui un hacker malintenzionato decida di procurarsene uno, implementando magari qualche azione malevola su un sito apparentemente innocuo.
Se la nostra intenzione è quella di gestire opportunamente un sito che offra servizi di e-commerce, o che comunque richieda agli utenti un
livello di fiducia significativo, la soluzione migliore consiste nell'
ottenere un certificato OV o EV. Questi due certificati necessitano di una procedura di controllo non automatica, quindi più lunga e accurata di quella relativa al rilascio di un certificato DV. Questa procedura così accurata garantisce una maggior difficoltà nel falsificare una richiesta.
Per il rilascio di un
certificato OV, infatti, è necessario che la
Certification Authority (CA) verifichi
l'identità dell'organizzazione che lo richiede. I tempi di richiesta, così come i costi, sono quindi naturalmente maggiori di un certificato DV, ma il vantaggio si concretizza nell'inserimento, tra i metadati contenuti nel certificato, anche
delle informazioni sull'azienda che lo ha ottenuto.
Possiamo offrire un ulteriore livello di affidabilità agli utenti del nostro sito, optando infine per un
certificato EV. In questo caso, sia i costi che i tempi aumentano ulteriormente, ma la CA effettuerà una
verifica ulteriore sull'identità dell'organizzazione richiedente, accompagnata da una approvazione formale da parte di un rappresentate legale dell’organizzazione. Una volta effettuata, il certificato EV non solo garantirà tutte le funzionalità ed i livelli di affidabilità dei certificati DV ed OV, ma permetterà ai browser di riconoscere e
visualizzare l'identità dell'organizzazione titolare del certificato, che verrà mostrato all’interno delle informazioni del certificato.
Quale certificato SSL per un portale di grandi dimensioni?
Un ulteriore caso che è utile prendere in esame è quello di un portale di maggiori dimensioni. Più in generale, in tutti quei casi in cui il nostro sito può svilupparsi su
più sottodomini (ad esempio di terzo livello), o comunque quando abbiamo questo tipo di esigenza, certificare un singolo dominio può non essere sufficiente.
Le richieste più comuni, infatti, riguardano l’attivazione di certificati SSL rilasciati per gestire i singoli domini. Tuttavia, tutte le CA (tra cui anche Actalis) offrono anche delle
opzioni multi-dominio (chiamate SAN e Wildcard), che permettono cioé di acquistare un solo certificato in grado di coprire più di un dominio (SAN) o più sottodomini (Wildcard). Questa soluzione, è perfetta per portali e siti di grandi dimensioni, e più in generale per tutti quei casi in cui si ha la necessità di offrire servizi appoggiandosi a più domini.
La convenienza delle opzioni multi-dominio (
SAN e Wildcard) è quindi evidente: se abbiamo più di un dominio da certificare o più livelli di dominio nel nostro sito, non è necessario acquistare più certificati, ma basterà scegliere la soluzione multi-dominio adatta, che ci permetterà di
avere meno burocrazia, meno ordini d'acquisto, meno verifiche per l'emissione e il tutto
ad un costo inferiore rispetto all'emissione dei singoli certificati..
Conclusioni
Come si evince da quanto fin qui discusso,
la scelta del certificato SSL più opportuno dipende fortemente dal caso d'uso in cui lo si vuole applicare. In tutti casi è però necessario
affidarsi ad una Certification Authority credibile e, tra quelle in grado di fornire tutte le soluzioni sopra descritte c’è
Actalis, la CA del Gruppo Aruba, con oltre vent’anni di attività e riconosciuta in tutto il mondo per l'emissione di certificati SSL Server.