Chi può emettere un certificato SSL?
SSL o Secure Sockets Layer è un protocollo (un insieme di regole e linee guida) per il trasferimento di informazioni digitali su Internet. SSL implica la crittografia delle informazioni in modo che qualcuno che intercetta la comunicazione non possa leggerlo. SSL può essere utilizzato per comunicazioni sicure come quando si trasferiscono dati personali o finanziari.
Crittografia a chiave pubblica
SSL si basa sull'idea di crittografia a chiave pubblica. Funziona da siti Web e utenti del sito utilizzando una combinazione di una chiave pubblica e una chiave privata. Nonostante il nome, la chiave pubblica è più simile a un lucchetto: dice alla gente come crittografare le informazioni che stanno inviando al destinatario. Il sistema significa che chiunque può scoprire come crittografare i dati da inviare al destinatario, ma solo il destinatario (utilizzando la chiave privata) può decrittografarlo. Una buona analogia è di immaginare la persona A spedendo un lucchetto alla persona B (e mantenendo la chiave) e poi la persona B che usa questo lucchetto per fissare un pacco prima di rimandarlo alla persona A completa del lucchetto. Il pacchetto rimane sicuro anche se la chiave non lascia mai la persona A.
Firma digitale
Una firma digitale, come quella utilizzata in SSL, rende la crittografia a chiave pubblica un ulteriore passo avanti. Invece di limitarsi a crittografare i dati, si assicura che non sia stato manomesso. In questa configurazione, il mittente "firma" un messaggio con la chiave privata, quindi pubblica la chiave pubblica. Il destinatario può controllare la chiave privata contro la chiave pubblica per confermare che si trattava effettivamente del mittente che ha inviato il messaggio.
Inconveniente
Un problema con le firme digitali è che non è automaticamente garantito che qualcuno che pubblica una chiave pubblica sia autentico. In teoria qualcuno potrebbe pubblicare una chiave pubblica che in realtà appartiene a qualcun altro. Ciò potrebbe consentire loro di ingannare le persone a comunicare con loro online, ad esempio su un sito Web fasullo. Gli utenti potrebbero essere indotti a visitare un sito Web sicuro che pensano sia per una fonte legittima come una banca. Anche se l'utente avrebbe comunicato in modo sicuro, i suoi dati sarebbero andati a qualcuno che non conoscevano.
Soluzione
I certificati SSL sono rilasciati da una terza parte e confermano che la persona che utilizza una firma digitale è chi dichiara di essere. Queste terze parti sono note come autorità di certificazione e verificheranno una firma digitale, di solito inviando per e-mail il contatto amministrativo elencato per il nome di dominio del sito Web pertinente. Quando visiti un sito web sicuro, il tuo browser controllerà il suo certificato SSL per assicurarti di comunicare effettivamente con l'organizzazione che afferma di eseguire il sito.
Gli emittenti
Le autorità di certificazione sono società commerciali che si sottopongono regolarmente a controlli di sicurezza. Poiché i certificati SSL sono controllati dai browser Web, sono in effetti i principali produttori di browser a decidere quali aziende possono agire come Autorità di certificazione SSL. Anche se diverse dozzine di aziende sono riconosciute in questo modo, il mercato è dominato da quattro gruppi principali: Symantec (i cui marchi includono Verigisn), Comodo, Go Daddy e Globalsign. Tra questi, questi gruppi rilasciano circa il 90 percento di tutti i certificati SSL a partire da maggio 2013.