Quali sono i i tipi di certificato digitale tra cui devi scegliere quello adatto al tuo sito e-commerce

  • Scegliere il certificato digitale per l'e-commerce

Un certificato digitale garantisce in primo luogo l'identità del sito per il quale è stato emesso. Per eliminare il rischio di un loro utilizzo fraudolento, inoltre, permette anche, attraverso l'uso del protocollo crittografico SSL/TLS (Secure Soket Layer, ora chiamato TLS - Transport Layer Security), di cifrare i dati trasmessi da un computer Client al Server presso cui risiede il sito.

Al vertice del sistema si pone la Certification Authority che emettendo il certificato digitale si fa garante dei dati in esso contenuti. Il livello di profondità del controllo, però, è diverso a seconda del tipo di certificato preso in considerazione.

Ma quali sono i tipi di certificato digitale esistenti? E quali livelli di sicurezza offrono? Come si sceglie un certificato digitale? Cerchiamo di trovare una risposta per ciascuna di queste domande.

Questo post fa parte della Guida ai certificati digitali per l'e-commerce.

La serie spiega cosa sono i certificati digitali, come funzionano e come scegliere quello perfetto per il proprio sito di commercio elettronico.

Vai all'indice della Guida ai certificati digitali per il commercio elettronico.

I tipi di certificato digitale

Le necessità di chi possiede un sito Internet, di chi li utilizza, di chi li ospita sui propri server, di chi vende online, ecc. sono differenti le une dalle altre. Per rispondere a questa varietà di esigenze sono stati, dunque, creati differenti tipi di certidicati digitali. Ognuno ha costi propri, propri livelli di sicurezza e specifici dati necessari perchè possano essere emessi dalla Certification Authority.

Server certificates e wildcard certificates

I server certificates consentono l'identificazione di un server. E' il certificato tipicamente utilizzato da chi vuole implementare una connessione sicura al proprio sito Internet, quindi il certificato digitale che utilizzerai anche per il tuo ecommerce.

Questi certificati sono associati, tra le altre cose, al dominio Internet del sito web per il quale è stato acquistato. Ed è qui che sorge il problema: se hai acquistato il certificato per www.dominio.com cosa succede se il tuo utente si collega a sottodominio.dominio.com? Semplicemente il certificato non funzionerà.

Evitano questi inconvenienti i certificati digitali per server di tipo cosiddetto wildcard: questi certificati possono essere utilizzati non solo sul dominio principale ma anche su ogni altro sottodominio dello stesso. Proprio questi certificati vengono utilizzati dagli hosting provider per offrire semplici connessioni sicure che però non offrono tutte le ulteriori garanzie dei certificati digitali.

Personal certificates

Non solo i server ma anche singoli utenti possono avere necessità di essere identificati con certezza. Allo scopo possono essere utilizzati i personal certificates. Questi identificano, appunto, persone, individui, non server.

Essi sono utili per lo più per l'invio di posta elettronica crittografata (non certificata - PEC - ma semplicemente crittografata!) e per la connessione a server che richiedono il riconoscimento di chi vi accede.

Nell'ambito di un'organizzazione, per esempio, si potrebbe desiderare di consentire l'accesso riservato e protetto solo a soggetti determinati o si potrebbe volere comunicare tramite posta elettronica in sicurezza, cifrando le singole email.

L'uso di questi certificati, quindi, è più esteso rispetto alla PEC, Posta Elettronica Certificata.

Software publisher certificates

I software publisher certificates identificano il produttore di un software distribuito tramite internet. L'uso di questi certificati consente di conoscere la provenienza del software e garantisce che il programma non sia stato modificato illegittimamente.

Il principio alla base del loro funzionamento è sempre lo stesso: il produttore del software cifra il programma con la propria chiave privata e distribuisce la corrispondente chiave pubblica. Quando un utente scarica il software dovrà decodificarlo prima di poterlo usare. Questo garantisce senza possibilità di errore la provenienza del software.

Poniamo il caso che il software in questione serva a connettersi a servizi di internet banking. E ipotizziamo che un cracker abbia sostituito il file originale con uno fasullo che gli invia tutti i dati riservati. Con l'uso di un software publisher certificate il cracker avrà fatto un'inutile fatica perchè il file sarà inutilizzabile.

Questo sistema viene untilizzato, per esempio, da alcune software house che producono software open source per Ubuntu ed altri sistemi basati su Unix. Per poter installare il software è necessario procurarsi la chiave pubblica della software house altrimenti semplicemente il programma non potrà essere installato. Una bella convenienza, addio virus, addio minacce. Viva l'open source!

Certificate authority certificates

Abbiamo detto che la Certificate Authority cifra la coppia di chiavi asimmetriche dei certificati digitali dei propri clienti prima di consegnargliele. Questo garantisce la provenienza delle stesse. Ma che chiavi usa la Certification Authority?

I Certificate authority certificates servono proprio a questo: essi garantiscono l'identità della Certification Authority che a sua volta garantisce i certificati digitali dei propri utenti. Un'ulteriore garanzia di sicurezza dunque.

I certificati Extended Validation (EV)

I certificati Extended Validation prevedono un controllo più approfondito sull'identità di chi richiede il certificato e sulla veridicità e soprattutto sulla legittimità dei dati e della richiesta del certificato digitale.
Abbiamo detto che un certificato digitale garantisce non solo la sicurezza delle comunicazioni in transito ma anche l'identità di chi richiede il certificato. La Certification Authority effettivamente esegue una serie di controlli sui dati che le vengono forniti ma ciononostante è possibile ingannarla. Si potrebbe, infatti, benissimo fornire dati “veritieri” e poi richiedere il certificato per il famoso sito www.e-bay.com.

La certification authority, verificato che i dati forniteli sono veri, emette un certificato per il dominio e-bay.com.

Cosa succede se il dominio fa capo ad un organizzazione criminale che si occupa di phishing?

Non credo che uno che fa questo “mestiere” abbia difficoltà a reperire dati “veritieri” da comunicare alla CA.

Il risultato è che, nonostante il sito www.e-bay.com faccia capo ad un criminale, egli avrà comunque il suo bel certificato. Certo, in esso risulterà che il titolare del dominio e del certificato stesso è diverso da eBay ma le persone disattente su Internet sono moltissime. In più la guardia viene abbassata perchè si vede che la connessione è protetta e il risultato è che probabilmente il povero utente verrà ingannato consegnando i propri dati a qualcuno che non li userà certo per offrirgli un buon servizio. Più che altro gli verrà fatto un bel servizio!

Per ovviare a questo problema sono stati introdotti i Certificati Extended Validation.

Come dice la stessa denominazione essi prevedono un controllo più esteso, più approfondito da parte della Certification Authority su chi richiede il certificato. Questa, infatti, quando andrà a verificare i dati effettuerà controlli molto più serrati assicurandosi, ad esempio, che i numeri di telefono forniti funzionino, che il richiedente abbia una sede realmente utilizzata, che l'indirizzo email funzioni correttamente, che il richiedente sia iscritto ad una Camera di Commercio, ecc. In sostanza cerca di verificare nella maniera più rigorosa possibile che chi sta chiedendo il certificato è animato dalle migliori intenzioni e non stia fornendo dati verosimili ma non veri. Verifica, in sostanza, la legittimità dei dati forniti ai fini dell'emissione del certificato e per farlo si avvale non solo delle dichiarazioni del richiedente ma anche di ricerce autonome nei pubblici registri e presso le pubbliche amministrazioni. Importantissima è la verifica che la Certification Authority effettua circa il legittimo uso del dominio al quale si intende associare il certificato. Non potrò più, quindi, chiedere un certificato per il domino www.e-bay.com perchè certamente non sono legittimato a farlo.

I browser, dal canto loro, sono in grado di riconoscere questo particolare tipo di certificato e ne evidenziano la natura mostrando il nome del titolare dello stesso su uno sfondo verde nella barra degli indirizzi.

L'utente, quindi, sarà in grado di riconoscere e distinguere con maggiore semplicità un sito sicuro da uno non sicuro e non rischierà di incappare nel classico specchietto per le allodole allestito dai cracker e dagli spammer.

Conclusioni

Come vedi i tipi di certificato sono molti ed ognuno ha il proprio scopo.

Per te che devi usarli su un sito di commercio elettronico (o su un qualunque altro sito internet) è necessario un server certificate. Il problema si pone con riguardo alla Certification Authority cui affidarsi e con riguardo alle caratteristiche che il certificato deve possedere (come l'essere di tipo wildcard o in relazione al livello di cifratura che esso garantisce).

Per farti avere un quadro più chiaro nel prossimo articolo si parlerà proprio di questo e ti darò dei consigli sugli aspetti da valutare per evitare di investire male il denaro della tua azienda acquistando un certificato digitale poco utile.

Questo post fa parte della Guida ai certificati digitali per l'e-commerce.

La serie spiega cosa sono i certificati digitali, come funzionano e come scegliere quello perfetto per il proprio sito di commercio elettronico.

Vai all'indice della Guida ai certificati digitali per il commercio elettronico.

2017-05-16T17:19:50+00:00 Argomenti: , |

Scrivi un commento