Cosa Devi Sapere Riguardo i Certificati Digitali e il SSL/TLS

L'acquisto su Internet ha uno dei propri maggiori punti dolenti nella sicurezza. Complice l'ignoranza dei consumatori e dei commercianti e più raramente addirittura la loro cattiva fede (dei commercianti o pseudo tali), Internet viene ancora percepita come un luogo mistico e pericoloso, una Jungla dalla quale è difficile uscire indenni una volta che vi si sia entrati (e questo vale sia che si parli di ecommerce, sia che si parli di social network). Con chiunque abbia parlato di Internet e di acquisti online ho dovuto affrontare l'argomento sicurezza prima o poi. In realtà spessissimo questo è accaduto prima, quando subito mi si è obiettato che inserire il numero della propria carta di credito su Internet è pericoloso perchè può essere rubato con tutte le conseguenze del caso.

Con questo post e con quelli che seguiranno, intendo (in realtà spero di) sfatare una serie di miti circa la sicurezza di Internet, intendo fornirti gli strumenti per rendere sicuro il tuo sito, intendo farti comprendere come sia possibile evitare di finire nei guai facendo commercio elettronico.

Tutti i post in questa serie:

Prima di tutto Certificati Digitali e SSL Non Sono la Stessa Cosa

Sicuramente hai sentito parlare di SSL e se sei tra quelli più informati avrai anche sentito parlare di certificati digitali.
Facciamo subito la prima doverosa puntualizzazione: i certificati digitali sono diversi dal SSL. La stragrande maggioranza delle persone confonde ed usa come sinonimi "SSL" e "certificato digitale". In realtà SSL è l'acronimo di Secure Socket Layer ed è un protocollo crittografico. Il certificato digitale, invece, è uno strumento che sfrutta, tra gli altri, il protocollo SSL. Insieme offrono una serie di garanzie a chi accede al sito che li utilizza e contribuiscono a rendere sicura la comunicazione tra computer Client (quello degli utenti che accedono al tuo sito) e computer Server (quello dove è ospitato il tuo sito).

Ok, ho parlato di SSL. Ho sbagliato. In realtà ora SSL si chiama TLS che sta per Transport Layer Security. Per semplicità, però, ti piaccia o non ti piaccia, continuerò a far riferimento al vecchio nome del protocollo, SSL - Secure Socket Layer.

Detto questo, come al solito, andiamo con ordine.

Le paure (il)legittime degli utenti e I Pericoli Reali di Internet

Quando abbiamo fatto il primo acquisto su Internet tutti quanti noi abbiamo avuto la paura che i dati della nostra carta di credito potessero in qualche modo finire nelle mani di terzi ed essere usati per prosciugare il nostro conto. Ed è proprio questa paura, reale, potenziale o mitica che sia, che frena ancora oggi le vendite su internet e quindi il commercio elettronico.

Mi fa sorridere, però, che le persone abbiano paura di inserire i dati della propria carta di credito ma non si preoccupino minimamente di lasciare in giro, dove capita, il proprio nome e cognome con annesso indirizzo e numero di telefono. Come andare in autogrill e scriverli sulla porta del bagno. Anzi, in questo caso è meno pericoloso: al massimo si riceve la telefonata di qualche perverso che si sente solo.

Quando si acquista online o ci si iscrive ad un social network, invece, sia che si comunichino i dati della carta di credito sia che si comunichino più semplicemente propri dati personali, bisogna farsi alcune domande fondamentali:

  1. A chi sto fornendo i miei dati?
  2. I miei dati sono comunicati in maniera sicura?
  3. Dove vengono memorizzati i miei dati?
  4. Chi potrà accedere ai miei dati?
  5. Il sito che sto visitando è chi credo che sia?

I siti di commercio elettronico, e in generale tutti quelli che fanno capo ad un'attività imprenditoriale, riportano a fondo pagina i recapiti e i dati identificativi dell'esercente come la partita IVA, la ditta o la ragione sociale, numero di telefono, email, indirizzo della sede, ecc.

Ma chi garantisce che queste informazioni siano vere? In altre parole chi mi assicura che il vero sito di eBay è www.ebay.com e non www.e-bay.com? Chi mi assicura che il vero sito di Facebook sia www.facebook.com e non www.face-book.com? Chi mi assicura che il sito della mia banca (ci sei arrivato cliccando sul link in una mail scommetto!) sia quello che sto visitando e non un altro?

Stiamo parlando di phishing e del connesso fenomeno dello spamming.

A me capita con una frequenza eccessiva di trovare nella casella di posta allarmanti messaggi che mi comunicano che il mio account verrà sospeso, che la mia banca mi vuole cacciare (banca alla quale tra le altre cose non mi sono mai rivolto), che MSN mi vuole far pagare l'account se non gli comunico di nuovo i miei dati di accesso e via cose di questo genere.

Questo è il phishing: consiste nello spacciarsi per chi non si è, in genere un'azienda famosa e ritenuta affidabile dal pubblico, allo scopo di farsi consegnare dati personali e sensibili che verranno poi utilizzati per gli scopi più disparati e ovviamente altamente illegali.

E chi garantisce che i dati che sto comunicando ad un sito non siano intercettati da un terzo? Questo metodo ha un nome: "Man in the middle", "Uomo in mezzo". Un cracker si frappone fra il mio computer ed il sito, intercetta le nostre comunicazioni, ne legge il contenuto e ne fa ciò che vuole!

Il Certificato Digitale è la soluzione

Ma una soluzione, ovviamente, c'è e si chiama certificato digitale. Esso garantisce sia l'identità del soggetto titolare del sito (contro il phishing), sia la sicurezza del canale utilizzato dal commerciante online per ricevere i dati dei propri clienti (contro gli attacchi Man in the middle).
Non so se tu abbia già provato a districarti nell'ingarbugliato mondo dei certificati digitali. Non è molto diverso dal mondo degli hosting o delle tariffe telefoniche. Per preparare questa serie di articoli ho dovuto leggere molte pagine e "decifrare" molte informazioni frammentate per riuscire ad ottenere una panoramica.

I certificati digitali sono di molti tipi e ti trovi a dover scegliere tra un certificato digitale che costa 30 Euro ed uno che ne costa 300, 700 o addirittura di più. Qual è la differenza? Non sempre la si comprende subito, non sempre al primo colpo almeno.

Nei prossimi articoli ti esporrò il funzionamento dei vari certificati digitali, lo scopo di ognuno, il grado di utilità, fornendoti una bussola in un mondo che può diventare veramente selvaggio.

2017-03-24T13:10:29+00:00 By |Categorie: Blog|Argomenti: , , , |

4 Commenti

  1. Roberto XSM 13 gennaio 2010 al 14:27 - Rispondi

    Bell’articolo complimeti!
    Aspetto frebbricitante gli altri articoli!
    Fai presto mi raccomando!
    A presto!

    • Aerendir 15 gennaio 2012 al 03:38 - Rispondi

      Ti ringrazio, la settimana prossima ne pubblicherò un altro 🙂

  2. MasviL 18 gennaio 2010 al 13:50 - Rispondi

    Interessante, molto. Aspetto il prossimo articolo sull’argomento.

  3. […] Vai all'indice della Guida ai certificati digitali per il commercio elettronico. […]

Scrivi un commento