In relazione alla tecnologia digitale, non è più una questione di record à la Olympia secondo il motto "più veloce, più alto, più lontano". Le prestazioni dei dispositivi finali, le velocità di trasferimento sempre più elevate o la varietà di applicazioni convenienti sono una cosa. Un'altra cosa è che quando navighiamo in Internet, utilizziamo i social media e altri servizi, riveliamo fatti su noi stessi praticamente ogni secondo, che non dovrebbero finire nelle mani di tutti. Questo include indirizzi, conti bancari, numeri di carte di credito e altri dati sensibili.
La parola chiave del momento è piuttosto: sicurezza. Oppure: Come posso garantire attivamente e passivamente che i dati che divulgo via Internet e che invio in tutto il mondo siano protetti da un accesso improprio da parte di terzi? È qui che funzioni come SSL e TLS, metodi di crittografia progettati per garantire che io possa viaggiare in modo sicuro nel mondo digitale, tornano utili.
Come funziona un Certificato SSL
SSL (Secure Sockets Layer) è un protocollo per l'autenticazione e la crittografia delle connessioni in Internet. La procedura SSL originale è ormai obsoleta ed è stata sostituita da TLS (Transport Layer Security). Tuttavia, il termine SSL è rimasto nel linguaggio comune fino ad oggi.
Per spiegare come funziona, prendiamo come esempio l'ordine di un cliente in un negozio online. Una connessione SSL crittografata viene sempre stabilita dal cliente (in questo caso il cliente). Il primo passo è il cosiddetto handshake, in cui viene generato un parametro di crittografia per la sessione. Il server del negozio risponde inviando la sua chiave pubblica al cliente con il suo certificato SSL. Questo invia a sua volta il Certificato autenticata sulla base di un elenco di CA conosciute - Certificate o Certification Authority = autorità di certificazione per i certificati digitali. Se la CA non è nota, la maggior parte dei browser apre una finestra che offre all'utente la possibilità di accettare o rifiutare il certificato sotto la propria responsabilità.
Ora il client genera una chiave simmetrica, che viene criptata con la chiave pubblica del server e la rimanda indietro. Quindi sia il client che il server conoscono il codice per la cifratura dei dati dell'utente e viene stabilita la connessione sicura.
Differenze tra i comuni certificati SSL
Ci sono diverse varianti di Certificati SSL, a seconda delle esigenze del richiedente e anche di prezzo variabile. I fattori sono ad esempio la forza di crittografia (i valori di default sono 128 Bit o 256 Bit), il tipo di convalida e la compatibilità o accettazione del browser.
Certificati di dominio convalidati (Convalida del dominio)
I certificati convalidati a dominio hanno la più ampia distribuzione. Utilizzando il traffico e-mail regolamentato, l'autorità di certificazione verifica se il richiedente di un certificato SSL è realmente il proprietario del dominio. Dopo la conferma, il certificato viene rilasciato in brevissimo tempo. Questa variante viene utilizzata soprattutto per piccoli siti web, blog, forum, server di posta e applicazioni Intranet ed è l'alternativa più economica.
Certificati convalidati dall'organizzazione (Convalida dell'organizzazione)
Il processo è un po' più complicato con un certificato convalidato dall'organizzazione. Qui non viene controllato solo il dominio, ma anche l'identità. Il gestore del sito web - di solito un'azienda - deve dimostrare con alcuni documenti che è realmente il proprietario del dominio. Il controllo d'identità per il certificato varia da fornitore a fornitore. Di norma è richiesto un estratto del registro di commercio, viene effettuato un confronto con i dati bancari e viene stabilito un contatto telefonico tra il richiedente e il fornitore. I certificati convalidati dall'organizzazione sono adatti per siti web aziendali, negozi web e webmail.
validazione estesa
Una terza versione è la Extended Validation. I siti web certificati in questo modo possono essere riconosciuti dal carattere verde nella riga dell'indirizzo del browser. Questo feedback visivo indica che il collegamento è particolarmente affidabile. Chi elabora il traffico dei pagamenti tramite l'online banking lo sa dalle banche e dalle casse di risparmio. In questo caso, l'autorità di certificazione procede in modo simile ai certificati convalidati dall'organizzazione, ma verifica anche se il richiedente è realmente un dipendente della rispettiva azienda e ha l'autorizzazione ad acquisire un certificato di convalida estesa.
I certificati EV sono generalmente criptati a 256 bit e raggiungono la massima accettazione possibile da parte di tutti i browser. Oltre al carattere verde già citato, la riga dell'indirizzo mostra anche il nome e la sede dell'azienda.
Quale organismo di certificazione è quello giusto?
Ci sono un gran numero di Autorità di Certificazione (CA) in diversi paesi, per cui è facile per un potenziale cliente perdere il conto. Spesso non è possibile scoprire quale sia l'azienda o l'ente governativo che li sostiene. I critici parlano ora di una "lotteria di certificazione", che offre poca trasparenza e affidabilità. In ogni caso, la Bundesdruckerei con la sua controllata D-Trust è completamente in mano tedesca. Molte altre agenzie lavorano con i certificati intermedi USA-Americani, ma, al più tardi dopo la vicenda dei servizi segreti NSA, ci si deve chiedere se i propri dati siano davvero protetti da questi certificati.
Google preferisce le pagine con crittografia SSL
Nel 2014, Google ha annunciato che il motore di ricerca dispone ora di un algoritmo che conferisce alle pagine certificate SSL un trattamento preferenziale e conferisce loro una posizione più elevata rispetto alle pagine senza certificato. Tra gli intenditori dell'epoca, questo passo era considerato assolutamente sensazionale, perché Google di solito tace completamente sulla natura e sulle modalità di funzionamento dei suoi algoritmi. Tuttavia, l'azienda si è posta l'obiettivo di migliorare sempre più la sicurezza su Internet. Questo è stato probabilmente il motivo della dichiarazione pubblica.
Uno sguardo al futuro della crittografia
Un progetto lungimirante in materia di crittografia è "Let's Encrypt", guidato dal Californian Internet Security Research Group (ISRG). Ciò dovrebbe consentire in futuro ad ogni gestore di siti web di fornire al proprio dominio un certificato SSL in modo semplice e completamente gratuito, che sia considerato e accettato come affidabile dai comuni browser. Le connessioni HTTPS criptate potrebbero così diventare presto lo standard web e fornire maggiore sicurezza e protezione dei dati. Membri dell'ISRG sono la Mozilla Foundation, Cisco, Akamai e la Electronic Frontier Foundation.
