Sicurezza durante la navigazione nel Internet è un fattore molto importante. Ogni volta che entriamo in una pagina web o accediamo a un servizio online, inviamo e riceviamo dati. Quelle informazioni personali potrebbero essere esposte sulla rete se non ci fosse sicurezza, se non viaggiassero in forma crittografata. Ecco dove piacciono i protocolli SSL e TLS entrare in gioco. L'obiettivo è consentire che i dati personali che inviamo quando accedi, ad esempio, non vengano esposti in modo che chiunque possa raccoglierli. In questo articolo ne parleremo e spiegheremo perché è così importante.
Cosa sono i certificati SSL TLS
SSL o TLS i certificati sono anche conosciuti come certificati digitali. TLS non è altro che una versione rinnovata di SSL, ma in molti casi continueremo a vedere questo termine semplicemente come un certificato SSL. È fondamentalmente un file che contiene dati per collegare le chiavi crittografiche con i dati di un sito web.
Lo scopo di questo tipo di certificato è quello di fornire problemi di . Quello che fa è crittografare il contenuto che inviamo e riceviamo quando navighiamo in una pagina web. Potremo verificare se il sito ha un certificato nel browser stesso. Ad esempio, nel Chrome vedremo un lucchetto appena prima dell'URL. Ciò indicherà che utilizzi questo tipo di certificati digitali. Naturalmente, alcuni browser lasciano da parte questi tipi di segnali e ci avvisano semplicemente quando una pagina non ha un certificato.
Una volta che un utente accede a un sito Web, a connessione sicura viene abilitato automaticamente tra il server in cui è ospitato quel sito e il browser da cui una persona sta accedendo. Il browser può essere qualsiasi browser che supporti quel tipo di protocollo utilizzato dal sito web. La cosa normale è che chiunque usiamo oggi lo è.
Quel certificato sarà collegato a un nome di dominio, come questo articolo, il nome del server o un host. Inoltre, sarà anche collegato al nome dell'azienda o dell'organizzazione, per fornire affidabilità. Una volta installato correttamente sul server, HTTPS apparirà invece di HTTP quando qualcuno accede al sito web.
Perché sono importanti
Perché è davvero importante avere un certificato SSL? Il motivo è chiaro: la sicurezza. Se non navighiamo in una pagina crittografata, i nostri dati potrebbero essere esposti. Significa che tutto ciò che inviamo viaggerà in chiaro. Se, ad esempio, ci colleghiamo a una rete Wi-Fi in un aeroporto, qualcuno all'interno di quella rete potrebbe leggere ciò che inviamo. Potrebbe, in breve, realizzare a Attacco Man-in-the-Middle e rubare le nostre password e credenziali.
Pensiamo, ad esempio, all'a pagamento con carta su qualsiasi pagina web. Dobbiamo inserire i dati nel gateway di pagamento e contattare il server. Quelle informazioni viaggeranno attraverso la rete e se non ci fosse la crittografia sarebbero esposte in modo che chiunque potesse leggerle.
Certificati SSL/TLS sono importanti anche l'utilizzo dei social network o di qualsiasi servizio di messaggistica istantanea. Tutto ciò che inviamo è crittografato e, in questo modo, impediamo a un intruso di leggere il contenuto di una conversazione. Sarebbe, ancora una volta, un possibile attacco all'interno di una rete Wi-Fi insicura se non fosse crittografata.
Ma anche, per avere il tuo sito web, è molto importante che tu disponga di certificati SSL. Sarà importante per il posizionamento del web, poiché Google e altri motori di ricerca lo apprezzano molto. Migliorerà anche la fiducia dei visitatori, poiché vedere un messaggio di avviso che dice che il sito non è sicuro non ti invita a visitarlo.
Come funziona
Questi tipi di certificati devono essere installati su un server. Da quel momento in poi, quando l'utente accede a quella pagina ospitata su quel server, il suo browser visualizzerà un messaggio che indica che il sito è effettivamente sicuro e crittografato. Vedranno HTTPS e, se faranno clic sull'icona del lucchetto, potranno accedere anche alle informazioni di quel certificato.
Il server invierà un copia della chiave pubblica al browser. Da parte sua, il browser creerà una chiave di sessione simmetrica e la crittograferà con la chiave pubblica asimmetrica di quel server. Quindi lo rimanda al server.
Quel server è responsabile decifrare la chiave di sessione che ha ricevuto tramite la sua chiave privata asimmetrica e ottiene la chiave di sessione simmetrica. Da quel momento in poi, tutto ciò che viene inviato sarà crittografato. La comunicazione tra browser e server sarà crittografata e nessuno potrà leggere quanto inviato.
Tieni presente che questa chiave di sessione viene creata quando entriamo in un sito Web. Non importa se torniamo indietro più tardi, poiché ne creerebbe un altro. Questo processo è completamente automatico ed è un momento in cui non noteremo gli utenti quando accediamo a qualsiasi sito web.
Tipi di protocolli SSL e TLS
Non tutti i protocolli sono uguali in quanto esistono versioni diverse. In effetti SSL possiamo dire che è diventato obsoleto. Oggi quelli attuali sono TLS, sebbene sia ancora generalmente chiamato certificato SSL. E sì, esistono anche diverse versioni di certificati TLS e alcuni di essi sono obsoleti.
Ci sono tre tipi di SSL versioni: 1.0, 2.0, e 3.0 . Il primo non si è mai veramente abituato; gli altri due sì fino al 2011 e al 2015, rispettivamente. Da quell'anno iniziò a essere considerato un protocollo scomparso.
Per quanto riguarda i certificati TLS, esistono anche diverse versioni: TLS 1.0, 1.1, 1.2 e 1.3 . Gli ultimi due sono quelli che sono ancora in vigore oggi. Entrambi sono considerati sicuri e perfettamente funzionanti.
Pertanto, se hai intenzione di installare un certificato SSL/TLS sul tuo sito Web, è essenziale installare il protocollo versione 1.2 o 1.3 di TLS. Solo così proteggerai davvero la pagina e i browser la considereranno sicura. In caso contrario, il tuo sito sarebbe vulnerabile e questo sarebbe un problema per Google e per il prestigio del sito stesso.
Livello di convalida
I certificati SSL hanno diversi livelli di convalida. Questo dipenderà dal fatto che siamo un'organizzazione, un utente privato, ecc. L'obiettivo di questo è poter certificare che il sito Web è quello che dovrebbe essere e per questo è necessario svolgere un processo con cui essere in grado di convalidarlo.
convalida del dominio
Questo è il più semplice dei tre livelli. Fondamentalmente consiste nel convalidare che il proprietario del dominio è colui che afferma di essere. Possono verificarlo tramite un email, Per esempio. Eseguono diversi controlli sul DNS record di quel dominio per confermare l'identità.
È essenziale che HTTPS appaia nel dominio, nell'URL del browser. Non ci vuole troppo tempo, visto che abbiamo parlato di un massimo di poche ore. Tuttavia, normalmente ci vogliono alcuni minuti. È la convalida più comune per gli utenti che hanno una pagina web.
L'organizzazione
Il livello successivo è già più complesso. Si tratta di convalidare un'organizzazione e in questo caso non è così automatico. La cosa normale è che devono contattare quell'azienda e quindi confermare che sono davvero loro a voler creare quel dominio e verificarne l'identità. È un modo per evitare la frode e la rappresentazione.
In questo caso, devi dedicare più tempo. Durerà diversi giorni. Naturalmente, è una convalida più completa. Appariranno le informazioni dell'organizzazione e ciò genererà fiducia. È il più utilizzato dalle aziende. Molto importante, ad esempio, per un negozio online. In questo modo faremo in modo che i clienti abbiano garanzie.
estesa
Il terzo livello è quello che viene chiamato certificati di convalida estesa . Siamo già al massimo livello. Qui sarà necessario convalidarlo attraverso questioni legali, presentare documenti e anche ricevere un'ispezione per verificare che tutto sia effettivamente legale e non ci sia nulla di strano dietro.
Questo è utilizzato soprattutto dalle grandi aziende che sono ben note. Richiede più tempo, diverse settimane ed è anche un processo più costoso. Tuttavia, questo processo garantirà agli utenti la massima sicurezza in modo che sappiano che stanno effettivamente navigando nella pagina corrispondente a quella società o organizzazione.
Numero di domini o sottodomini
Questi certificati possono essere differenziati anche in base al numero di domini o sottodomini. Ne esistono di diversi tipi, come vedremo. L'obiettivo è lo stesso: validare un dominio per aumentare le garanzie per i visitatori, in modo che non abbiano dubbi sulla sua sicurezza.
dominio semplice
Il primo è il più semplice di tutti. Fondamentalmente è composto da convalida di un dominio specifico . Ad esempio un certificato che agisce su questo articolo.net. Convaliderà solo quello specifico e non qualsiasi sottodominio o qualsiasi altro dominio di nostra proprietà.
È il più adatto a chi ha una propria pagina web, a livello personale, e non ha bisogno di altro. È il più semplice e non sarà necessario certificare alcun sottodominio aggiuntivo che potrebbe trovarsi su un sito Web più grande, ad esempio.
wild card
Per convalidare i sottodomini, entra in gioco WildCard. Questo è molto utile per coloro che hanno pagine diverse all'interno dello stesso dominio e desideri convalidarli tutti. Dovrebbero utilizzare un certificato di questo tipo, che copre ciò che il dominio semplice non può.
Se parliamo di questo articolo, pensiamo, ad esempio, a diverse sezioni per negozio online, forum, ecc. Potremmo avere sottodomini del tipo store.itigic.com o forum.itigic.com In questi casi, è dove un Il certificato WildCard agirà, al fine di convalidare tutti questi sottodomini che abbiamo.
più domini
In questo caso l'obiettivo è convalidare più di un dominio. Ad esempio, se abbiamo una pagina web con diverse estensioni, come .es e .com, anche se mantengono lo stesso nome. Questo è qualcosa che molte aziende e organizzazioni prendono in considerazione per impedire a qualcun altro di trarre vantaggio dal marchio.
Pertanto, i certificati per più domini consentiranno la convalida di più di uno. È più orientato alle grandi aziende e organizzazioni, che saranno quelle che ne avranno bisogno.
Conclusioni
Possiamo dire che avere certificati di questo tipo oggi è qualcosa di basilare. Sono rimaste pochissime pagine Web non sicure e non crittografate. Inoltre, per ottimizzare il posizionamento sul web e non avere problemi con Google, è anche necessario fare questo investimento e acquisire un certificato per la pagina.
Abbiamo visto che a livello di utente dobbiamo anche assicurarci di trovarci su una pagina crittografata. Ad esempio, per poter effettuare un pagamento online senza che le informazioni siano esposte o per poter inviare messaggi attraverso i social network senza che un intruso possa leggere quel contenuto.