Cos’è il protocollo SSL e come funziona

In tema di sicurezza informatica, non si può prescindere dal sapere cosa sono i certificati SSL, qual è la loro utilità e come funzionano.

Per questo è utile spiegare nel dettaglio l’importanza di questo protocollo di sicurezza, dal momento che tutti facciamo acquisti online e inseriamo i nostri dati personali su siti e-commerce, form di contatto per informazioni e moduli di richiesta per servizi specifici.

Cosa vuol dire SSL

La sigla SSL significa Secure Socket Layer ed è un protocollo standard (assieme al TLS, Transport Layer Security) per la comunicazione sicura tra un client server e un server web.

In parole semplici, quando avviene una trasmissione di dati tra un client server e un server web, quest’ultimo invia il proprio certificato digitale al browser che ne verifica la validità e se è tutto ok attiva a una connessione sicura .

Quindi certificato SSL è una sorta di garanzia rilasciata da un ente chiamato Certification Authority; questo ente che rilascia il certificato garantisce che l’organizzazione con cui stai comunicando attraverso il browser è davvero chi dichiara di essere.

Tramite la chiave di protezione assegnata viene stabilita una connessione sicura che protegge i dati personali e le altre informazioni che inviamo online.

Questa tecnologia di sicurezza è uno standard riconosciuto, infatti l’SSL è utilizzato non solo dai browser web (quindi Chrome, Firefox, Edge, Safari), ma anche dai programmi di gestione della posta come Outlook, Mozilla Thunderbird, Apple Mail, e da programmi SFTP (Secure File Transfer Protocol).

Il certificato SSL, dunque, svolge una duplice funzione: autentica l’identità del sito web e cripta i dati che vengono trasmessi.

I dati criptati possono essere di vario genere, questi sono gli esempi più comuni:

• login e password;
• numeri di carte di credito o di conti bancari;
• dati personali;
• documenti legali e contratti;
• liste di clienti;
• cartelle cliniche.

Come verificare se un sito è certificato SSL

Lato utente è possibile controllare a colpo d’occhio se un sito è protetto con questa certificazione: è sufficiente verificare che nell’indirizzo sulla barra di navigazione ci sia https:// anziché http://, in questo caso vuol dire che sul sito è presente un certificato SSL.

Nella maggior parte dei browser è presente un lucchetto verde accanto alla scritta https, perciò è piuttosto intuitivo capire se un sito è sicuro oppure no.

Tipologie di validazione SSL

Le principali tipologie di validazione SSL sono 3:

Domain Validated – questa è la certificazione standard più comune, verifica che il richiedente abbia la titolarità della registrazione del dominio di cui chiede il certificato; questo livello è anche il meno costoso e in genere viene rilasciato in pochi minuti.

Organization Validated – Questa validazione è rilasciata dopo una procedura più lunga che prevede che l’Autorità di Certificazione contatti l’azienda che deve ottenere il certificato e le richieda informazioni e documenti per dimostrare la sua reale identità ed esistenza, come prevenzione contro il furto d’identità. Di conseguenza è necessario un po’ più di tempo per ottenere questa certificazione

Extended Validated (EV) – Questo è il livello più alto di autenticazione disponibile per un certificato SSL.

Nella barra degli indirizzi, l’utente può vedere il nome dell’azienda in verde e quindi è sicuro di navigare sul sito ufficiale, perciò si sentirà più propenso a effettuare una transazione o un’altra operazione che preveda l’invio di dati sensibili.

Inoltre, è possibile sia richiedere un certificato per un singolo dominio (SSL Single Domain), sia richiederne uno che vale per più domini e sottodomini (SSL Wildcard), così da risparmiare sui costi. Tutti i certificati hanno una validità variabile, in genere annuale, ma è possibile scegliere di acquistarli con durata fino a 39 mesi; tuttavia, il browser Apple Safari non riconoscerà validi i siti con certificati SSL di durata superiore a 398 giorni a partire da settembre 2020, perciò è meglio optare per durate inferiori.

Come fare per ottenere un certificato SSL

Per avere un certificato SSL su un sito non è sufficiente acquistarlo, è anche necessario che sia installato e configurato correttamente per far migrare il sito da http ad https senza imprevisti.

Un altro aspetto da considerare è quello del ranking SEO, poiché Google penalizza i siti che sono sprovvisti di SSL e inoltre solo gli e-commerce che usano questo protocollo possono accedere ai servizi di Google Shopping.

Google, dunque, considera la presenza dell’https un fattore di posizionamento, per questo è indispensabile effettuare lo switch del proprio sito a questo protocollo, oltre che per le ragioni di sicurezza dei dati che sono decisive.

La protezione dei dati personali è un tema che sarà sempre fondamentale, tanto per quanto riguarda i dati contenuti negli hard disk o in altri device, quanto per quelli che, in ogni momento, inviamo sul web quando visitiamo siti e facciamo acquisti.