giovedì 13 luglio 2017

I certificati nei siti web

Visitando un sito web che per motivi di sicurezza richiede che la connessione sia cifrata, come siti bancari, siti di commercio elettronico, social media, insomma siti ove vengono trattate informazioni sensibili, avremo certamente notato comparire in basso a destra nella finestra del nostro browser, un lucchetto. Cliccando su di esso, potrebbe presentarsi una finestra di dialogo che ci annuncia che vi è una malfunzione nel nome o data del certificato del sito web che stiamo visitando. Capire cosa è un certificato di un sito web può aiutare a proteggere la nostra privacy.

Cosa sono i certificati dei siti WEB?

La cifratura dei dati scambiati via internet tra società ed utenti è una pratica comune, specie per le transazioni finanziarie o più in generale dove vengono trattati dati particolarmente sensibili, come ad esempio nelle comunicazioni con la pubblica amministrazione o le banche, e comunque ogni volta che si vuole evitare che le informazioni vengano intercettate e lette da dei malintenzionati. La comparsa di un lucchetto in basso a destra del browser e la modifica nell’url, nella barra di navigazione del browser, del protocollo di navigazione da “http” a “https”, sono segnali che la trasmissione dati è cifrata. Occorre però assicurarsi che il sito web con cui siamo in comunicazione sia effettivamente chi dice di essere. La verifica che il certificato sia valido, contribuisce a proteggerci dai malintenzionati che creano siti malevoli per carpire le nostre informazioni.

Se un sito web ha un certificato valido, significa che un’autorità ha verificato che l’indirizzo del sito appartiene realmente a quell’organizzazione o società. Quando digitiamo un url o seguiamo un link su un sito web sicuro, il nostro browser controllerà automaticamente il certificato secondo la seguente procedura di verifica:

  1. Se l'indirizzo del sito web è abbinato all'indirizzo sul certificato.
  2. Se il certificato è firmato da un’autorità riconosciuta dal browser come “trusted authority”.

Possiamo fidarci di un certificato?

Il livello di fiducia che possiamo riporre in un certificato è legato alla autorevolezza dell'organizzazione e dell’autorità che lo ha emesso. Se l'indirizzo del sito web concorda con l'indirizzo sul certificato, il certificato è firmato da un’autorità certificata di fiducia e la data è valida, possiamo essere ragionevolmente sicuri che il sito è realmente quello che dichiara di essere. Tuttavia, a meno che non verifichiamo personalmente l'impronta digitale unica di quel certificato chiamando direttamente l'ente emettitore, non vi è modo per essere assolutamente sicuri.

Dando fiducia a un certificato, si dà implicitamente fiducia all’autorità che lo ha emesso e che ha effettuato questa verifica per noi. Tuttavia, è importante sapere che le autorità di certificazione non sono tutte uguali, ma assumono diversi livelli di fiducia a seconda di quanto più rigorosi sono nella convalida delle informazioni richieste. Per impostazione predefinita, il nostro browser contiene una lista di una serie di autorità di fiducia certificate. Questo significa che ci stiamo fidando di tutte quelle autorità certificate per verificare e convalidare adeguatamente le informazioni.

Come controllare un certificato?

Dopo aver cliccato sul lucchetto in basso a destra della finestra del browser, possiamo verificare le proprietà del certificato come segue:

  • Chi emette il certificato. É importante assicurarci che il certificato sia stato legittimato da un’autorità certificata. Alcune organizzazioni inoltre hanno proprie autorità di certificazione che emettono certificati validi all’interno della propria intranet, questi sono i cosiddetti certificati autofirmati.
  • A chi è intestato il certificato. Il certificato dovrebbe essere intestato all'organizzazione che possiede il sito web. Non fidiamoci se il nome sul certificato non si abbina al nome dell'organizzazione o alla società prevista.
  • Data di scadenza. La maggior parte dei certificati sono emessi con validità di uno o due anni. Fa eccezione il certificato dell’autorità di certificazione che per motivi organizzativi può avere validità decennale. Facciamo attenzione alle organizzazioni che hanno certificati validi per più di due anni o con certificati scaduti.

Nel visitare un sito web, ci potrebbe capitare una finestra di dialogo con un errore relativo al certificato del sito. Ciò può accadere se il nome con cui è registrato il certificato non si abbina al nome del sito o il certificato è autofirmato e quindi l’autorità emittente non è nell’elenco delle autorità di certificazione attendibili del nostro pc, o se il certificato è scaduto. Generalmente ci verrà richiesto se intendiamo comunque accettarlo solo per quella volta, e quindi continuare nella navigazione, o in modo definitivo. La confusione è a volte facile da risolvere. Se non siamo certi che il certificato sia valido o mettiamo in discussione la sicurezza del sito, non trasmettiamo informazioni personali o sensibili.

Oppure hai ancora dubbi e semplicemente vuoi approfondire l'argomento? Contattami liberamente, senza alcun impegno, per un preventivo gratuito di consulenza personalizzata.

Nella sessione studiata su misura per te sarò a tua completa disposizione fornendoti risposte chiare, immediate e precise.

Consulenze telefoniche o per posta elettronica prevedono un costo.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.
Software di recupero dei file danneggiati di Microsoft Office
PARTECIPA ALLA DISCUSSIONE
  • Collegati con
  • oppure registrati al sito
Alessio Arrigoni - CONSULENTE INFORMATICO - Via per Senna, 15 - 22070 Capiago Intimiano (CO) - Tel./Fax 031.461.335 - info@alessioarrigoni.it
PRIVACY | P.I. 02752540134