Nell'articolo precedente abbiamo visto il funzionamento di un certificato digitale e ci siamo lasciati con una domanda: cosa succede se il browser del Client non possiede la chiave pubblica della Certification Authority?

E' noto, da una domanda spesso nasce un'altra domanda, e un'altra, e un'altra. Per esempio, è veramente possibile che un browser non possegga la chiave pubblica di una Certification Authority? E poi, è proprio necessario che ci sia una Certification Authority? Non posso farmi il Certificato Digitale in casa, visto che si tratta di generare delle coppie di chiavi asimmetriche con un programma?

Il ruolo della Certification Authority e l'importanza di scegliere quella giusta

Rispondo subito all'ultima domanda: è possibile creare un certificato digitale anche in casa, usando appositi programmi. Una simile scelta, però, non può che avere conseguenze negative perchè si perdono alcuni vantaggi fondamentali.

1) La Certification Authority garantisce l'identità del proprietario del certificato firmandone le chiavi pubblica e privata con la propria chiave privata. Così facendo rende impossibile per chiunque manometterle. Un eventuale malintenzionato, infatti, dovrebbe prima scardinare la cifratura che protegge le due chiavi, quindi dovrebbe sostituire le chiavi originali con delle chiavi fasulle e infine dovrebbe ricodificare il tutto con la chiave privata della Certification Authority e le probabilità che tutto ciò si verifichi sono molto molto basse, credo sia impossibile.

Garantita l'integrità delle chiavi asimmetriche del certificato si è certi che tutto ciò che il Client proteggerà con queste chiavi potrà essere letto solo ed esclusivamente con quel certificato. Chiunque dovesse anche riuscire ad intercettare i dati non potrà, infatti, leggerli perchè semplicemente non ha la corrispondente chiave privata.

2) La Certification Authority rilascia al proprietario del certificato digitale un bollino da esporre che informa gli utenti circa l'esitsenza del certificato a protezione del sito. Se la Certification Authority è conosciuta l'utente ne riconoscerà il bollino di sicurezza e sarà più semplice rassicurarlo.

Questo bollino, inoltre, contiene un link ad una pagina ospitata sul sito della Certification Authority nella quale sono indicati i principali dati identificativi del proprietario del certificato digitale. Questo garantisce che sei chi dici di essere.

3) Più la Certification Authority è conosciuta più probabilità ci saranno che i browser in circolazione ne conoscano la chiave pubblica. Qualora non dovessero possederla mostrerebbero un messaggio molto simile nei contenuti al seguente

Il messaggio di errore mostrato da Firefox in caso di certificato digitale non sicuro

Secondo te, cosa potrebbe fare il tuo "utente - futuro cliente" trovandoselo davanti? Probabilmente a questo punto avrai perso una vendita.

Richiedere un Certificato Digitale

Brevemente vediamo a questo punto come si ottiene un certificato digitale.

Il processo che porta all'ottenimento di un certificato è grossomodo standard. Può variare da CA a CA in relazione ai dati da fornire o in relazione alla procedura di generazione e comunicazione della coppia di chiavi asimmetriche ma i punti essenziali sono generalmente i seguenti:

  1. Generazione della coppia di chiavi asimmetriche da utilizzare per cifrare le comunicazioni. La generazione delle chiavi viene eseguita dalla Certification Authority alla quale ci si è rivolti con una procedura che può richiedere la partecipazione dello stesso richiedente. Il più delle volte tutto si svolge sul il sito della CA;
  2. Il richiedente comunica informazioni circa la propria identità alla Certification Authority. È ora che vanno fornite le informazioni riguardanti il richiedente quali il nome a dominio, l'indirizzo email, il nome e cognome del richiedente, ecc. Questa fase è detta di enrollment e le modalità con cui va eseguita sono definite da un apposito standard (PKCS-10 );
  3. La Certification Authority inizia la verifica dei dati ricevuti. A seconda del tipo di certificato potrà richiedere un'integrazione dei dati forniti per esempio richiedendo l'iscrizione alla Camera di Commercio o la partita IVA;
  4. Verificata la correttezza dei dati la Certification Authority genera il certificato e lo firma digitalmente. “Firmare” vuol dire che il certificato viene crittografato dalla CA con la propria chiave privata per garantire che i dati in esso contenuti non vengano modificati;
  5. Il certificato firmato (quindi crittografato) viene inviato al richiedente che provvederà ad installarlo o a farlo installare sul proprio server.

Conclusioni

Una Certification Authority è una sorta di notaio di Internet che si assume la responsabilità di garantire l'identità dei propri clienti e di fornire loro uno strumento per proteggere le loro comunicazioni.

Il certificato digitale è una cassaforte solida e robusta che sigilla e conserva informazioni riservate.

Insieme rendono la rete un posto più sicuro per tutti.

Parlando della procedura di emissione di un certificato digitale, però, ho fatto riferimento all'esistenza di più tipologie di certificato.

Ho fatto anche riferimento alle chiavi pubblica e privata della Certification Authority. Ma chi gliele ha date?

Questo sarà l'argomento del prossimo articolo che riguarderà proprio le tipologie di certificati digitali.