Siti web sicuri il certificato SSL
Oggi come oggi avere un sito web e non pensare alla sicurezza, sia dei tuoi dati che dei dati degli utenti, è sicuramente fuori ogni discussione.
Uno dei fattori che in questi ultimi anni ha dato una bella spinta alla sicurezza sul web è il fatto che Google Chrome, uno dei browser più popolari, etichetta da un po’ di tempo i siti senza SSL e quindi non https, come siti non sicuri.
Questo fatto può anche essere una presa di posizione fin troppo severa, in quanto se un sito web non raccoglie dati degli utenti e/o non vende prodotti e quindi non tratta transazioni con carte di credito, non è necessario al 100% che sia dotato di https, ma nel caso invece di siti che effettuano transazioni di denaro o raccolgono dati personali, allora è tutto un altro discorso.
I cerificati SSL quindi servono proprio a questo, a creare una connessione sicura e crittografata.
Cos’è un certificato SSL?
Come detto, uno dei fattori più importanti del business in rete è che l’ambiente, il sito web, sia affidabile per i potenziali clienti che quindi si sentono tranquilli di poter fare acquisti in totale sicurezza.
Un sito web con certificato SSL crea quella base di fiducia verso l’utente garantendo quindi una connessione sicura, e gli utenti per essere sicuri di questo si avvalgono di “segnali visivi” che i vari browser forniscono, come il classico lucchetto a cui ci ha abituato Chrome.
Un certificato SSL è quindi uno strumento che serve a cifrare i dati inviati tra un utente ed un sito web, come ad esempio il numero di carta di credito durante la fase di acquisto di un prodotto.
In questo modo, con i dati criptati, il passaggio di dati avviene in modo sicuro e garantito dal gestore del sito in questione.
SSL significa Secure Sockets Layer, ed è una tecnologia di sicurezza standard per stabilire un collegamento crittografato tra un server e un client, cioè tra un sito Web ed il browser di un utente.
SSL, come ottenerlo? Cosa sono le autorità di certificazione?
Il certificato SSl lo si può ottenere da quella che viene chiamata “autorità di certificazione” (CA), aziende che devono rispettare gli standard di sicurezza e di autenticazione imposti dai browser, come possono essere le più famose “Let’s Encrypt” o “Comodo“, ma più semplicemente, il certificato SSL lo si può acquistare ed implementare attraverso lo stesso hosting provider del nostro sito web.
La parte più importante di un certificato SSL è che è firmato digitalmente da una CA affidabile ed i browser vengono forniti con un elenco preinstallato di autorità di certificazione attendibili, noto come “archivio di CA“.
Una volta installato correttamente il certificato SSL il browser comunica all’utente che il sito Web è sicuro (lucchetto, pallino verde o altro) e l’utente può sentirsi al sicuro anche inserendo eventuali dati personali.
I certificati SSL quindi proteggono i dati di milioni di persone online ogni giorno, soprattutto nelle fasi di transazioni con carte di credito o durante la trasmissione di dati personali (ad esempio l’indirizzo e-mail scritto nel from contatti).
Oggi gli utenti associano la loro sicurezza online con la classica icona del lucchetto fornita appunto da un sito Web protetto da SSL e senza questa sicurezza potrebbero pensare di navigare su un sito poco sicuro e quindi abbandonare presto quel determinato sito web.
Funzionamento dell’SSL in sintesi
In sintesi, il funzionamento dei certificati SSL si può riassumere così:
- Il browser si connette ad un sito web protetto con SSL (https) e richiede al sito di identificarsi.
- Il server invia una copia del suo certificato SSL e la chiave pubblica del server.
- Il browser controlla la radice del certificato, cioè controlla faccia parte dell’elenco di “autorità di certificazione attendibili” e che il certificato non sia scaduto. Se il certificato è attendibile il browser crea, crittografa e restituisce a sua volta al server una “chiave di sessione”.
- Il server dove risiede il sito decodifica la chiave di sessione e avvia la sessione crittografata.
- Il Server ed il Browser ora crittografano i vari dati trasmessi con la chiave di sessione.