Certificato SSL: come funziona e a cosa serve

Se lavori con il web non puoi non conoscere i certificati SSL, perché stanno acquistando sempre maggiore importanza soprattutto per siti di e-commerce, per le app di terze parti che interagiscono con i social network come Facebook e sono indispensabili qualora si voglia aumentare la sicurezza e la percezione di affidabilità verso i propri clienti.

Il sistema SSL è utilizzato on-line da imprese e da singoli individui con lo scopo di diminuire il rischio che dati sensibili (ad esempio numeri di carte di credito, nomi utente, password, e-mail) vengano intercettati, rubati o manomessi da hacker e ladri di identità.

In sostanza, SSL è un sistema di sicurezza che consente una conversazione privata solo tra le due parti interessate.

Che cosa è un certificato SSL

SSL è sinonimo di una tecnologia di sicurezza standard globale che consente la comunicazione crittografata tra un browser (Chrome, Edge, Safari) e un server web; letteralmente sta a significare Secure Sockets Layer.

Il certificato SSL è una sorta di garanzia che viene rilasciata da un ente definito Certification Authority. In pratica l’autorità che emette il certificato garantisce che l’organizzazione con cui stai “parlando” attraverso il browser è realmente chi dichiara di essere.

Per creare questa connessione sicura, un certificato SSL (noto anche come “certificato digitale”) è installato su un server web e ha principalmente due funzioni:

• autentica l’identità del sito web (questo garantisce ai visitatori che non si tratta di un sito fasullo);
• cripta i dati che vengono trasmessi.

Quale certificato SSL scegliere

Tutti i certificati SSL sono uguali? No, ci sono diversi tipi di certificati SSL in base al numero dei nomi di dominio o dei nomi di sottodominio di proprietà. Sostanzialmente possono essere di tre tipi Single, Wildcard e Multi-Domain vediamoli insieme:

• Single – copre un solo nome di dominio completo o il nome di sottodominio;
• Wildcard – copre un nome di dominio e un numero illimitato di suoi sottodomini;
• Multi-Domain – protegge più nomi di dominio.

Esistono inoltre vari livelli di convalida necessari reltivi ai certificati SSL come ad esempio:

• Domain Validation – questo livello è il meno costoso, copre la crittografia di base e la verifica della titolarità della registrazione del nome del dominio. Questo tipo di certificazione richiede solitamente da paio di minuti a diverse ore per ottenerlo;
• Organization Validation – con questo tipo di convalida in aggiunta alla crittografia di base e la verifica della titolarità della registrazione del nome di dominio, alcuni dettagli del proprietario (ad esempio nome e indirizzo) sono autenticati. Questo tipo di certificato di solito richiede da alcune ore a diversi giorni per ottenerlo;
• Extended Validation (EV) – questo fornisce il più alto grado di sicurezza a causa dell’esame approfondito che viene effettuato prima che sia emesso il certificato (come strettamente specificato nelle linee guida stabilite dal consorzio di governo del settore certificazione SSL). Oltre alla proprietà della registrazione del nome di dominio e l’autenticazione entità, è verificata l’esistenza legale, materiale e funzionale del soggetto. Questo tipo di certificazione richiede solitamente da un paio di giorni a diverse settimane per ottenerlo. 

Chi ha bisogno di un certificato SSL

Ha sicuramente bisogno di un certificato SSL ogni individuo, organizzazione o azienda che utilizza il proprio sito web per richiedere, ricevere, elaborare, raccogliere, immagazzinare o visualizzare informazioni riservate o sensibili. Alcuni esempi di queste informazioni sono:

• login e password;
• informazioni finanziarie (ad esempio, numeri di carte di credito, conti bancari);
• dati personali (ad esempio, i nomi, gli indirizzi, i numeri di previdenza sociale, date di nascita);
• informazioni proprietarie;
• documenti legali e contratti;
• liste di clienti;
• cartelle cliniche.

Man mano sta diventando indispensabile soprattutto per quei siti web che hanno nelle proprie pagine web una form dati che richiede username e password (ad esempio per l’accesso ad un’area riservata). Infatti, il browser di Google, a partire dalla versione Chrome 56, visualizza un messaggio di avviso per l’utente di accesso non sicuro nel caso in cui il sito non sia protetto da un certificato SSL e quindi non sia raggiungibile mediante protocollo https.

Come creare un certificato SSL

Probabilmente la parte più importante di un certificato SSL è da dove proviene. I certificati SSL sono emessi da autorità di certificazione (CA o Certification Autohrity), ovvero organizzazioni che si assicurano di verificare l’identità e la legittimità di qualsiasi soggetto che richiede un certificato.

Il ruolo della CA è quella di accettare le domande di certificato, autenticare le applicazioni, i certificati di emissione e mantenere le informazioni di stato aggiornate sui certificati rilasciati.

Dove acquistare un certificato SSL

È possibile anche acquistare i certificati digitali da un web hosting provider o da un domain name registrar. Al momento di scegliere il giusto fornitore di certificati SSL, prendi in considerazione il fatto che i browser più noti, normalmente mantengono una lista memorizzata nella cache di CA di fiducia in archivio.

Quindi se un certificato digitale è firmato da un soggetto che non è “approvato” dalla lista, il browser invierà una messaggio di avviso all’utente che il sito potrebbe non essere affidabile.

Il consiglio migliore è quello di acquistare il certificato dal proprio fornitore hosting come nel nostro caso. Tra i nostri servizi infatti, nella sezione Sicurezza, sono presenti i migliori certificati SSL, emessi dalle authority più note come: RapidSSL, GeoTrust, Symantec e Thawte.

Tutti i marchi ovviamente rendono disponibili le varie tipologie di certificato a partire da quelli più semplici come i certificati SSL Domain Validated, che comprendono anche un certificato gratuito per 30 giorni ma anche i certificati SSL Organization Validated, i certificati SSL Extended Validation, i certificati SSL multi-dominio e infine i certificati SSL Wildcard.

Come posso capire se un sito ha un certificato SSL

Sostanzialmente ci sono quattro indizi visivi:

1. un lucchetto a fianco dell’ URL;
2. il prefisso URL https invece di http;
3. un sigillo di fiducia;
4. una barra degli indirizzi verde (quando un certificato EV SSL è emesso).

Ecco un esempio dal sito di Google:

Come installare un certificato SSL

Lo scopo di questo paragrafo non è quello di indicare esattamente come installare un certificato SSL nel tuo server ma di fornire a grandi linee una procedura su un server Linux con Apache.

Se dovessi avere qualche dubbio o soprattutto difficoltà a installare il certificato sul server, ti consigliamo di chiedere assistenza tecnica ad un sistemista oppure di contattare direttamente HostingVirtuale per richiedere una consulenza di questo tipo.

Fase 1: Ottenere e installare il certificato SSL

Dopo aver ottenuto il certificato dal tuo fornitore, scarica e copia i due certificati (server e intermediate) direttamente sul server, ad esempio in una directory come /usr/local/ssl/crt/;

Fase 2: Configurare Apache

Alcune configurazioni di Apache contengono sia il file httpd.conf e sia il file ssl.conf. Attenzione ad aggiornare con le direttive indicate di seguito, uno solo di questi file per evitare che ci sia un conflitto e Apache non si avvii.

Apri il file di configurazione in un editor di testo come Vim o Blocco note e nella sezione Virtual Host del file httpd.conf o ssl.conf, aggiungi le seguenti direttive:

SSLCertificateFile /percorso/server-certificate  SSLCertificateKeyFile /percorso/private-key  SSLCertificateChainFile /percorso/intermediate-certificate

Dovrebbe essere una situazione di questo tipo:

mentre la configurazione dei Virtual Host dovrebbero essere configurate come segue:

<VirtualHost IP_SERVER:443>  ServerAdmin email-amministratore  DocumentRoot /percorso/document-root  ServerName nome-sito  ErrorLog /percorso/error-log  SSLEngine on  SSLProtocol all  SSLCertificateFile /percorso/server-certificate  SSLCertificateKeyFile /percorso/private-key  SSLCertificateChainFile /percorso/intermediate-certificate  ServerPath /percorso  <Directory "/percorso">  </Directory>  </VirtualHost>

Salva il file httpd.conf o ssl.conf e riavvia Apache probabilmente con uno dei seguenti comandi:

apachectl stop  apachectl startssl  /etc/init.d/apache2 stop  /etc/init.d/apache2 start

Fase 3: test e verifiche

Ovviamente si può provare subito a visualizzare il sito web digitando prima il protocollo HTTPS e verificare che sia visibile. Se invece vuoi utilizzare un sistema di terze parti per verificare che il certificato sia installato correttamente, puoi utilizzare il tool di GeoTrust.

Tutto quello che devi da sapere sui certificati SSL

Abbiamo reperito su Youtube un video tutorial che mostra tutti gli step necessari per installare un certificato SSL su server Apache.

I certificati SSL diventeranno sempre più importanti per la sicurezza dei siti web. Ci saranno sistemi sempre più semplici e a costi accessibili per poterli installare e configurare.

Con molta probabilità lo stesso Chrome visualizzerà una notifica di errore su tutti i siti non disponibili con protocollo HTTPS e quindi il consiglio è di iniziare ad organizzarsi in tempo.

Se non hai le competenze per farlo o semplicemente vuoi evitare di procedere da solo, ti ricordiamo che in qualsiasi momento puoi contattare il nostro supporto tecnico per chiedere assistenza.

Articoli correlati:

Certificato SSL con IP dedicato, i vantaggi Le nuove funzioni di HVCP: certificato SSL gratuito con Let’s Encrypt Autenticazione a due fattori: cos’è, come funziona e a cosa serve