Certificati SSL: di che si tratta? 1

Certificati SSL: di che si tratta?

{CAPTION}

 

Un passaggio obbligato per chi si occupa di e-commerce. Una garanzia di sicurezza che permette di operare serenamente, senza incorrere in brutte sorprese.

Quando ci si accosta al magico (ma a volte pure insidioso) mondo del web si incappa inevitabilmente in terminologie settoriali non sempre chiarissime, minacciose di per sé per il timoroso neofita. Indubbiamente è una faccenda con cui spesso deve fare i conti l’imprenditore medio/piccolo che decide di far conoscere la sua attività e i suoi prodotti servendosi degli straordinari mezzi che Internet mette a disposizione. Tuttavia, ci vuole un minimo di cognizione, e soprattutto non bisogna muovere passi azzardati, poiché i rischi e le fregature non mancano. Nelle prossime righe familiarizzerete con i certificati SSL, materia non certo indecifrabile per Giga.it, uno strumento “moderno” che vi farà risparmiare tempo e preoccupazioni. Per la cronaca, la sigla sta per Secure Sockets Layers.  

Un esempio pratico

In realtà non stiamo parlando di qualcosa di troppo astratto. Poco visibile, forse, ma spesso presente. Per dire, se vi collegate alla vostra casella di posta elettronica targata Google, noterete un lucchetto che rappresenta un’autorità certificatrice (abbreviabile in CA, certification authority) che vi assicura che siete nel “posto giusto”. Inoltre, se l’indirizzo è preceduto da “https://” anziché da “https://”, quello è un altro segnale, diciamo così, rassicurante. Per ottenere un simile fregio, o se preferite la “chiave”, bisogna contattare la CA, inviarle i documenti che – come vedremo meglio in seguito – dimostrino l’effettiva e regolare attività dell’azienda e attendere una risposta (che di solito arriva dopo poche ore o qualche giorno, a seconda del genere, altro dettaglio che sarà chiaro più avanti).

L’altra fondamentale funzione

Ribaltate la situazione: non siete più l’utente, ma la società alla quale egli si rivolge. Quanto e più dei clienti (i quali comunque intendono tutelare da imbrogli e latrocini i propri dati personali, le carte di credito e le password), nel corso delle comunicazioni desidererete non essere spiati da qualche hacker. Per questo la CA ha il compito di crittografare le vostre transazioni, in modo che diventino inintelligibili. Dunque, tranquillità per voi – che rappresentiate una multinazionale o una semplice ditta – e per chi interagisce con il vostro sistema telematico di vendita.

Una distinzione assai importante

Ci sono anche  i certificati autofirmati. Ciò che li rende diversi da quelli provenienti da una CA è che quasi ogni browser percepirà i siti che li esibiscono come “non affidabili”. Tutt’al più possono esservi utili per testare l’efficacia dell’apparato di protezione che vi stiamo illustrando. Al contrario, i certificati validati sono accettati nel 99% dei casi, il che è parecchio utile soprattutto se nei vostri pacchetti proponete servizi di hosting o di e-mail. Anche perché senza certificazioni difficilmente i clienti accorti vi daranno retta.

Un altro “bivio”: wildcard e single domain

I certificati SSL di norma valgono per un solo dominio (single domain). Significa che avete facoltà di usarli unicamente per il website che avete creato, non per altri; nemmeno per uno degli eventuali sottodomini di cui potreste avere necessità più in là. Se prevedete di allargarvi e costruire in avvenire delle “ramificazioni” al sito, vi conviene attivare un certificato wildcard, ovvero un modulo che copra tale possibile “stirpe”.

L’ultima biforcazione

Ci sono due ulteriori tipi di certificato: domain validated, più sbrigativo, che è concesso quasi sulla parola (basta indicare nell’apposita scheda l’indirizzo di Internet che si intende coniare e rispondere all’e-mail che chiede conferma all’amministrazione attraverso un link da cliccare), e organization validated, più impegnativo e prestigioso (e naturalmente più costoso), che comporta la spedizione di alcune pratiche supplementari e la verifica da parte dell’entità certificante dell’esistenza dell’impresa richiedente, o dell’appartenenza del firmatario all’organico della stessa. In più, si parla di extended validation quando c’è di mezzo un accordo firmato tra dipendente e azienda richiedente; la barra verde (con la visibilità dei garanti della certificazione) ne è la testimonianza. 

Un intoppo scontato

Se installate un hosting per la prima volta o utilizzate un nuovo server, aspettatevi l’allarmante avviso: “Questo sito non è affidabile”. Nulla di grave, parliamo di piattaforme “autocertificate” che risultano ovviamente sconosciute al browser (è sufficiente “farglielo capire”). Per evitare che questo succeda nella webmail è opportuno dotarsi per tempo di una certificazione fra quelle illustrate più sopra.

Come fare esattamente?

Assunto che l’SSL è uno strumento sicuramente perfettibile (non è immune agli attacchi) ma di cui non dovete fare a meno (né sperare in sconti), il vostro pannello di controllo non dovrebbe porre ostacoli per questa categoria di certificazioni e mostrarvi una procedura guidata, peraltro rinnovabile di anno in anno (in maniera più rapida). Una curiosità: fra i protocolli del settore c’è già un successore, il Transport Layer Security (TLS).

Conoscevi già il termine SSL? Perché ti interessa l’argomento?