Certificato
digitale di un sito web, cos’è e a cosa serve
Firme digitali, siti
web, dispositivi IoT, carta nazionale dei servizi: questi sono solo
alcuni dei principali ambiti di applicazione di un certificato digitale.
Si tratta di uno
strumento che associa univocamente un soggetto (privato o
giuridico), un hardware o un programma ad una chiave pubblica.
Ma cos’è, come si ottiene e a
cosa serve un certificato digitale?
1. Cos’è un certificato
digitale
2. Differenze tra
certificati client e certificati server
3. Quali dati contiene un
certificato digitale?
4. Cos’è una Certification Authority?
5. Come si ottiene il
certificato digitale?
6. Conclusioni
Cos’è
e come funziona un certificato digitale
Il certificato
digitale è un documento elettronico che utilizza sistemi di crittografia
asimmetrica per associare in modo univoco l’identità di un soggetto ad sua chiave pubblica.
Va sottolineato che il
termine “soggetto” non si riferisce soltanto a individui, ma può comprendere
anche persone giuridiche, siti web o dispositivi IoT.
Nella crittografia
asimmetrica, infatti, ogni entità è associata ad una coppia di chiavi, una pubblica e
una privata. Per inviare un messaggio cifrato ad un destinatario, occorre
criptarlo utilizzando la sua chiave pubblica, che è nota a tutti. Il
destinatario, a sua volta, dovrà decriptare il messaggio utilizzando la sua
chiave privata.
Tuttavia, come
possiamo essere certi che la chiave pubblica che stiamo utilizzando appartiene
effettivamente al nostro interlocutore e non è stata sostituita da un hacker?
A questo proposito,
entra in gioco il certificato digitale, il quale garantisce l’identità
del soggetto associata alla chiave pubblica utilizzata, poichè al suo interno contiene:
·
le specifiche della chiave
·
informazioni sul soggetto o il device cui è intestato
·
la firma digitale dell’ente accreditato che l’ha
emessa
Differenze tra certificati client e certificati server
Una delle principali
differenziazioni nell’ambito delle certificazioni digitali è
quella tra “certificati client” e “certificati server“.
Sicuramente il metodo
di certificazione più conosciuto è quello lato server, associato ai certificati SSL dei
siti web. In questo caso, è il proprietario di un portale web a richiedere un
certificato per attestare il proprio indirizzo o nome di dominio.
In questo modo, ogni
volta che il browser di un utente tenta di connettersi al sito, viene inviata
una richiesta al server per far sì che venga mostrato il suo certificato
digitale.
Se quest’ultimo è
stato rilasciato da un’Autorità di certificazione riconosciuta e
la chiave pubblica riesce a decrittare correttamente la firma digitale, è
possibile avviare una sessione di navigazione sicura.
Dall’altro lato,
troviamo i cosiddetti certificati client che, sebbene meno
conosciuti, hanno ampia applicazione nella realtà qutidiana.
Dalle VPN alle
transazioni con il bancomat, passando per le tessere magnetiche e i dispostivi
di autenticazione.
In questo caso, è
l’identità dell’utente a dover essere autenticata. Per tale motivo è il server
a verificare la validità del certificato del soggetto che sta tentando
di stabilire la connessione.
A differenza del
certificato server, tuttavia, non entrano in gioco autorità di certificazione
ufficiali, ma si tratta di file (solitamente con estensione
.p12, .pfx, .pem)
installati direttamente sulla macchina client ed associati a specifiche
credenziali.
Quali dati contiene un certificato digitale?
L’ITU-T X.509 è
il protocollo internazionale che definisce formato e contenuto delle
informazioni riportate nei certificati digitali.
Giunto alla sua terza
versione, è lo standard più diffuso in questo ambito.
Secondo tale standard,
i dati contenuti in un certificato digitale includono:
·
La versione e numero seriale del certificato
·
L’ID dell’algoritmo (algoritmo e parametri)
·
L’ente che ha emesso il certificato e codice identificativo
univoco dell’ente emittente
·
Il periodo di validità del certificato
·
Il nome dell’intestatario
·
Le informazioni sulla chiave pubblica del soggetto
(algoritmo, parametri e chiave pubblica)
·
Le estensioni del certificato (.CER,
.DER, .PEM, P12)
·
L’algoritmo e i parametri di firma del certificato
·
La firma digitale del certificato
Nella versione 2 di un
certificato X.509, troviamo l’Identificativo emittente e l’Identificativo
oggetto, mentre nella versione 3 possono essere presenti varie estensioni.
Alcune estensioni sono standard, come ad esempio quella di Basic Constraint, mentre altre sono specifiche
dell’implementazione.
La firma
digitale di un certificato viene generata utilizzando la chiave
privata della Certification Autorithy che
ha rilasciato il certificato stesso. Chiunque abbia bisogno di verificare il
certificato digitale può utilizzare la chiave pubblica della CA, riportata nel
certificato della stessa.
Cos’è
una Certification Authority?
Una Certification Authority è
un’organizzazione che emette certificati digitali utilizzati
per autenticare l’identità di persone, device, software e altri oggetti nel
mondo digitale.
La CA svolge il ruolo
di garante di attendibilità e sicurezza per i certificati
digitali che rilascia.
In sostanza, la CA
attesta che un’entità (che può essere un individuo, un’organizzazione o un
dispositivo) è chi dice di essere, e che la comunicazione tra tale entità e il
destinatario è sicura e protetta da intercettazioni.
La CA è responsabile
·
della verifica dell’identità richiedente
·
del controllo della sua idoneità a ricevere un certificato
Ciò include la
·
verifica dell’eleggibilità del soggetto a richiedere il
certificato
·
la validità del suo indirizzo e-mail
·
la proprietà del servizio cui il certificato è destinato
I certificati digitali
emessi dalle CA sono fondamentali per:
·
l’utilizzo di tecnologie crittografiche, come SSL/TLS
·
la protezione delle transazioni online
·
la sicurezza delle comunicazioni in rete
Senza di essi, la
comunicazione tra client e server potrebbe essere intercettata e i dati
scambiati potrebbero essere violati.
E’ possibile consultare l’elenco delle Certification
Authority in Italia visitando il sito dell’Agenzia per l’Italia
Digitale (AGID).
Come si ottiene il certificato digitale?
La procedura per ottenere
un certificato digitale può variare a seconda del fornitore di
certificati, ma i passaggi principali sono generalmente gli stessi.
1. In primo luogo, il richiedente
deve generare una coppia di chiavi asimmetriche per cifrare le
comunicazioni. Questa generazione può avvenire mediante un software
specifico fornito dal fornitore di certificati, e richiede di solito
la partecipazione del richiedente
2. Successivamente,
il richiedente deve fornire le proprie informazioni personali alla
Certification Authority, come il nome a dominio del
sito, l’indirizzo email, il nome e il cognome del richiedente, ecc. Questa fase
viene chiamata “enrollment” e le modalità con cui va
eseguita sono definite da standard specifici
3. La Certification Authority verifica la correttezza
dei dati forniti e, a seconda del tipo di certificato, potrebbe
richiedere ulteriori informazioni o documenti per completare gli accertamenti
4. Una volta verificati i
dati, la Certification Authority genera il
certificato e lo firma digitalmente, crittografandolo con la propria chiave
privata per garantire che i dati in esso contenuti non vengano modificati
5. Infine, il
certificato firmato viene inviato al richiedente che dovrà installarlo sul
proprio server o farlo installare da un tecnico specializzato
Una volta installato,
il certificato consente di autenticare il proprietario del sito web e di
garantire la sicurezza delle comunicazioni tra il sito e gli utenti.
In conclusione, il
certificato digitale si rivela fondamentale per garantire la sicurezza di
informazioni, comunicazioni e transazioni online.
Grazie a questo
strumento, gli utenti possono avere la certezza che il sito web che stanno
visitando o l’applicativo che stanno utilizzando è autentico e che le
informazioni condivise sono al sicuro.
Inoltre, il
certificato digitale consente di proteggere le transazioni economiche e
finanziarie, evitando che informazioni sensibili, come numeri di carta di
credito o codici bancari, vengano intercettate da terze parti.
Per questo motivo, il
certificato digitale è diventato un requisito indispensabile per
qualsiasi attività commerciale online.
Le Certification
Authority ne garantiscono:
·
corretta emissione
·
validità
svolgendo un ruolo
fondamentale nel sistema di sicurezza informatica.
Infine, è importante
sottolineare che la tecnologia dei certificati digitali continua a evolversi,
offrendo nuovi strumenti per migliorare la sicurezza online e prevenire frodi e
attacchi informatici.
Insomma: in un mondo sempre più
digitale, il certificato digitale rimane un elemento imprescindibile per la tutela
della privacy e della sicurezza online.