Certificati SSL qualificati, non sempre “gratis è meglio”
17/02/2023
I certificati SSL servono sia ad autenticare l’identità di un sito Web sia a criptare informazioni inviate al server; sono quindi indispensabili per l’invio e la ricezione di dati in modo sicuro, per proteggere i contenuti da potenziali frodi, furti di identità e phishing.
In dettaglio, installare un certificato SSL Server sul proprio sito Web consente di abilitare il protocollo TLS (Transport Layer Security), soluzione standard per garantire la sicurezza delle transazioni online.
Con l’impiego del TLS è possibile abilitare importanti meccanismi di sicurezza. Il primo è “secure channel”, che assicura la cifratura di tutti i dati inviati e ricevuti tra il sito Web e l’utente finale. Il secondo riguarda la “server authentication”: l’utente può verificare l’autenticità del sito Web e l’identità dell’organizzazione che lo gestisce.
Tipi di certificati
Esistono tre tipologie principali di certificati SSL. La convalida a livello di dominio o Domain Validated (DV) è progettata per certificare unicamente il dominio Internet. È adatta per siti che ospitano aree personali con accesso tramite credenziali di login e pagine dedicate con form compilabili dall’utente. Sono indicati per i portali informativi e che, in generale, non prevedono transazioni economiche o di altra natura. I certificati DV sono legati al dominio e possono essere richiesti unicamente dal proprietario del dominio.
Tra i certificati disponibili per l’acquisto, quelli di convalida a livello di organizzazione Organization Validated (OV) sono adatti per eCommerce e siti Web che integrano piattaforme transazionali. Servono per certificare la proprietà del sito da parte di un’azienda e contribuiscono a irrobustire l’identità e l’immagine di una società e del relativo brand. Gli OV possono essere richiesti esclusivamente da personale autorizzato a rappresentarla.
Infine, gli Extended Validated (EV) sono certificati capaci di garantire un elevato grado di sicurezza e affidabilità. Sono cruciali per le grandi aziende, l’enterprise e gli eCommerce nazionali e internazionali di dimensioni medio/grandi.
In questo caso, la procedura di verifica è ulteriormente irrobustita e prevede un controllo specifico da parte della Certification Authority, che si occupa di indagare sull’identità del richiedente/azienda tramite e-mail e per via telefonica. L’emissione di questo tipo di certificati prevede una procedura lunga e articolata.
I certificati “non sono tutti uguali”
In senso generale, la scelta del provider per l’acquisto dei certificati passa dalla reputazione e dall’affidabilità dell’ente che eroga il servizio. È sempre opportuno appoggiarsi a fornitori qualificati, in grado di proporre soluzioni certificate e di garantire un servizio continuativo.
Diversamente dai certificati ottenibili in forma gratuita, attraverso le numerose realtà globali oggi presenti sul mercato, la scelta di una Certification Authority specifica offre interessanti vantaggi.
Se, da un lato, la gratuità del servizio offerto dai fornitori globali rappresenta un aspetto importante per i potenziali acquirenti, la scelta di una CA locale significa poter contare su un supporto diretto.
La Certification Authority offre infatti una assistenza senza intermediari, utile per qualsiasi necessità in fase di valutazione, acquisto o installazione. Poter contare su un rapporto diretto con il fornitore, come in molti altri campi, è fondamentale per poter conseguire il risultato desiderato in tempi brevi e con la massima soddisfazione.
Il costo di un certificato SSL varia in base al tipo scelto (DV, OV o EV), al livello di sicurezza offerto e al relativo iter di certificazione.
Esistono perciò certificati SSL economici, per salire fino a componenti professionali con costi ricorsivi più impegnativi. Solitamente, i certificati standard DV (Domain Validation) possono essere acquistati per poche decine di euro l’anno. Se, invece, occorre un superiore grado di protezione e servizi di livello business è opportuno scegliere la tipologia EV (Extended Validation).
L’approccio di Aruba
Aruba, attraverso la sua Certification Authority Actalis, rende disponibili i certificati per ottenere il riconoscimento del proprio dominio, proteggere i dati e le transazioni degli utenti e garantire loro l’identità del sito o dell’azienda.
I certificati SSL emessi da Aruba tramite Actalis sono supportati da tutti i principali Web browser su tutte le principali piattaforme client. In aggiunta a questi, Aruba offre anche certificati per Code Signing, che permettono di firmare un’ampia gamma di componenti software eseguibili consentendo agli utenti e piattaforme di destinazione di verificare l’origine ed integrità di tali componenti software, proteggendo quindi il PC da malware.
Bisogna rendersi conto che il Web non è un mondo parallelo a quello in cui viviamo, è un tutt’uno. E se si è vigili nel digitare il pin del proprio bancomat quando si è circondati da occhi indiscreti, lo stesso trattamento va riservato ad ogni attività che viene fatta sul web. È necessario informare ed informarsi, sapendo che quando si trasmettono o ricevono dati online, bisogna proteggersi allo stesso modo. Molte aziende e privati man mano stanno diventando sempre più consapevoli in questo senso, imparando la lezione anche grazie a strumenti di facile fruizione quali i certificati SSL.
Certificati SSL, il Garante sanziona i siti senza HTTPS
08/11/2022
Proteggere i siti Web con la cifratura SSL diventa obbligatorio ed è sanzionabile chi non assicura la protezione dei dati personali rispondendo adeguatamente alla normativa.
Con una recente disposizione, il Garante della privacy ha inflitto una pesante ammenda a un’azienda fornitrice di servizi idrici, che non aveva attivato meccanismi di protezione SSL/TLS per mettere al sicuro gli accessi nell’area riservata del proprio sito.
Ora, la situazione è stata rivista e corretta e, anche se non sono state rilevate violazioni dei dati, il Garante ha individuato infrazioni ai principi fondamentali del GDPR. In particolare, la mancata valutazione dei rischi per la sicurezza dei dati personali nella fase di progettazione e realizzazione del sito Internet (il principio definito “privacy-by-design”).
In considerazione del volume di dati trattati e del numero di utenti interessati, nonché del rapido aggiornamento del sistema e della collaborazione attiva dell’azienda, il Garante ha applicato una sanzione di 15.000 euro.
Tale decisione è in linea con quanto già comunicato in passato dall’Ente, che ha sottolineato come l’interazione di un utente con un sito Web per la trasmissione di dati personali debba essere protetta tramite crittografia SSL.
Perché è importante usare SSL?
L’uso di certificati SSL è la soluzione più rapida ed efficace per la protezione dei siti Web poiché innalza la sicurezza delle comunicazioni; questo grazie ad algoritmi di comunicazione criptata tra il client e server Web.
Pertanto, assume estrema rilevanza in tutte le tipologie di siti WEB che prevedono aree di autenticazione attraverso l’uso di credenziali ed eCommerce che prevedono l’inserimento di metodi di pagamento.
I certificati SSL forniscono una garanzia sull’autenticazione del dominio del sito e sull’effettiva identità dell’azienda collegata a quel dominio, gli utenti sono così protetti da possibili attività criminali, come frodi e furto dei dati.
La crittografia della trasmissione dati è uno degli aspetti fondanti nella progettazione di un sito, per una cybersecurity moderna, affidabile e rispettosa della compliance. Durante la navigazione, la disponibilità di un certificato SSL è sottolineata dal prefisso HTTPS posto in prossimità dell’indirizzo del sito. Il browser in uso identifica il certificato e rende chiara l’adozione di meccanismi di cifratura abilitando una specifica “icona lucchetto” nella toolbar.
Come scegliere e usare un certificato SSL
I certificati SSL sono rilasciati da un’Autorità di Certificazione e da rivenditori abilitati. Esistono poi differenti tipi di certificati, affiancati da tipologie di servizi accessori e garanzie variabili.
Il certificato è installabile dal pannello di controllo e garantisce la crittografia end-to-end: i dati non saranno intercettabili e rimarranno accessibili solo a chi li invia e a chi li riceve. Tutto questo può essere portato a termine in pochi passaggi e a un costo ridotto. Ad esempio, con Aruba, il certificato SSL è incluso gratuitamente in tutti i piani hosting ed è possibile attivarlo in modo semplicissimo dal proprio pannello di controllo.
Non solo, Aruba propone certificati SSL attraverso Actalis, azienda del gruppo Aruba e Certification Authority in Italia qualificata secondo il regolamento eIDAS per l’erogazione di servizi certificati e riconosciuta in tutto il mondo per l’emissione di certificati SSL server. A questi, si aggiungono i certificati per Code Signing, che permettono di firmare un’ampia gamma di software eseguibili.
Grazie a questi servizi evoluti, utenti e piattaforme potranno rapidamente verificare l’origine e l’integrità delle componenti software, riducendo drasticamente l’impatto di malware e minacce sulle rete e gli endpoint.
Tipologie di certificati
Esistono tre fondamentali tipologie di certificati SSL.
Domain Validated (DV), o convalida a livello di dominio, è un componente pensato per certificare unicamente il dominio Internet. Questi certificati sono adatti per quei siti che ospitano aree di accesso tramite login, pagine dedicate con form compilabili. Valgono, inoltre, per i siti che, in senso generale, contengono informazioni che non includano attività o transazioni economiche o di altra forma. Trattandosi di certificati legati al dominio, i DV possono essere richiesti solo dal proprietario effettivo del dominio.
Analogamente, esistono i certificati di convalida a livello di organizzazione Organization Validated (OV), una soluzione indicata per eCommerce e portali Web che adottano piattaforme transazionali.
Gli OV consentono di certificare la proprietà del sito da parte di un’azienda e contribuiscono a consolidare identità e immagine di una società e di un marchio.
Possono essere richiesti esclusivamente da personale autorizzato a rappresentarla.
I certificati Extended Validated (EV) assicurano un alto grado di sicurezza e affidabilità. Sono strutturati per soddisfare le esigenze di grandi aziende, del mondo enterprise e delle piattaforme di eCommerce nazionali e internazionali.
La maggiore sicurezza passa anche da procedure di verifica stringenti.
Il provider si occupa infatti di indagare sull’identità del richiedente/azienda tramite e-mail e per via telefonica. Tale percorso di approvazione allunga i tempi di emissione del certificato, che possono arrivare anche a una settimana.