Transport Layer Security (TLS) e il suo predecessore Secure Sockets Layer (SSL) sono dei protocolli che consentono la trasmissione di informazioni in modo crittografato; i certificati SSL proteggono siti Web e gli utenti.
Questi componenti mettono al sicuro il flusso dati che si instaura durante la navigazione e salvaguardano i dati personali di chi sta navigando, nonché le informazioni riguardanti lo specifico sito. Abilitando una protezione SSL si innalza così il grado di sicurezza dei servizi erogati, impedendo a terzi di intercettare e leggere i dati trasferiti.
Sarà dunque impedito a eventuali attaccanti e hacker di recuperare informazioni sensibili per scopi illeciti. Il certificato SSL entra in funzione ogni volta che visitiamo un portale su Internet quando il browser dell’endpoint e il server su cui è ospitato il sito si scambiano dati tra loro.
Durante la navigazione si scambiano, naturalmente, dati altamente sensibili, come per esempio le generalità dell’utente e i dati della carta di credito, nel caso di un sito di eCommerce.
È dunque facile comprendere quanto sia importante mettere in campo ogni strumento possibile per salvaguardare le comunicazioni in atto. Se questo scambio non avviene in modo sicuro, è possibile che i dati siano resi accessibili a soggetti non autorizzati e, successivamente, utilizzati a scopi fraudolenti.
I certificati SSL
Per prevenire il rischio di reati informatici, sono da tempo utilizzati il protocollo HTTPS e la tecnologia SSL (Secure Socket Layer). Il componente SSL è emesso direttamente da un ente certificatore. Un dominio con un certificato SSL associato, non solo è più protetto, ma guadagna autorevolezza e serietà agli occhi degli utenti.
Quindi, anche se l’uso dei certificati non è obbligatorio, è possibile affermare che sia altamente raccomandabile!
Il 25 maggio 2018 è entrato in vigore il GDPR, il regolamento europeo per la tutela della sicurezza dei dati. Tra le numerose disposizioni contenute nel norma, la crittografia dei dati è indicata come elemento chiave per la sicurezza. Va da sé che ogni sito Web dovrebbe essere crittografato con un certificato attendibile e portato in HTTPS.
Ad esempio, con Aruba, il certificato SSL è incluso gratuitamente in tutti i piani hosting ed è possibile attivarlo in modo semplicissimo dal proprio pannello di controllo.
L’importanza dei certificati
L’installazione dei certificati SSL è importante in ogni contesto; il settore che probabilmente beneficia maggiormente di questa tecnologia è quello del retail e del commercio elettronico. I provider offrono il supporto per gli indicatori visivi, o site seal, che consentono ai visitatori di constatare direttamente l’abilitazione di procedure per la security e la privacy del dato.
Gli utenti possono beneficiare di servizi per la generazione istantanea di un rapporto sullo stato del certificato SSL (cliccando il contrassegno in corrispondenza della barra URL del browser).
Si tratta di un aspetto importante, in senso generale, e fondamentale per siti di commercio elettronico di beni e servizi. Proprio i portali di eCommerce possono trarre vantaggio dalla disponibilità di facili e riconoscibili indicatori che possano infondere sicurezza nei potenziali acquirenti.
Da non dimenticare, inoltre, che da diverso tempo Google considera l’utilizzo di HTTPS o SSL come un fattore di ranking. Non solo, da ottobre 2018 Google Chrome evidenzia in rosso i siti ritenuti “non sicuri” perché privi di un certificato SSL. Anche in questo caso, un indicatore così evidente rappresenta un ulteriore tassello che può convincere (o meno) un possibile utente o cliente a visitare il sito.
Tipologie
I certificati SSL sono rilasciati da un’Autorità di Certificazione e da rivenditori abilitati. Esistono tre tipologie principali di certificati SSL.
Ad esempio, Aruba propone certificati SSL attraverso Actalis, azienda del gruppo Aruba e unica Certification Authority in Italia facente parte del CAB forum per l’erogazione di servizi certificati e riconosciuta in tutto il mondo per l’emissione di certificati SSL server.
La convalida a livello di dominio o Domain Validated (DV) nasce per certificare unicamente il dominio Internet. Si tratta di componenti adatte per siti che ospitano aree di accesso tramite login, pagine dedicate con form compilabili e, in generale, informazioni che non includano attività o transazioni economiche o di altra forma.
I certificati DV sono legati al dominio e, pertanto, possono essere richiesti unicamente dal proprietario effettivo del dominio.
Di altro tipo sono, invece, i certificati di convalida a livello di organizzazione “Organization Validated (OV)”. Stiamo parlando di una soluzione particolarmente indicata per eCommerce e portali Web che includono meccanismi transazionali.
Questi attestati servono per certificare la proprietà del sito da parte di un’azienda. All’atto pratico, essi contribuiscono a irrobustire l’identità e l’immagine di una società e di un brand correlato. Trattandosi di certificati legati all’azienda, possono essere richiesti esclusivamente da personale autorizzato a rappresentarla.
Provider e procedure
La terza tipologia di certificato è costituita dagli Extended Validated (EV). Questi certificati garantiscono un elevato grado di sicurezza e affidabilità.
Questi componenti sono dunque cruciali per le grandi aziende, il mondo enterprise e per gli eCommerce nazionali e internazionali di grandi dimensioni.
La procedura di verifica prevede un controllo specifico da parte della Certification Authority, che si occupa di indagare sull’identità del richiedente/azienda tramite e-mail e per via telefonica. L’emissione di questo tipo di certificati prevede una procedura lunga e articolata (diversamente dai DV, che sono generati e resi disponibili immediatamente).
La scelta del provider per l’acquisto dei certificati passa dalla reputazione e dall’affidabilità, ma anche dai servizi offerti (security, installazione…)
In generale, il costo di un certificato SSL varia in base al tipo scelto (DV, OV o EV), al livello di sicurezza offerto e al relativo iter di certificazione.
Esistono perciò certificati SSL economici, per salire fino a componenti professionali con costi ricorsivi più impegnativi. Solitamente, i certificati standard DV (Domain Validation) possono essere acquistati per poche decine di euro l’anno. Se, invece, occorre un superiore grado di protezione e servizi di livello business è opportuno scegliere la tipologia EV (Extended Validation).