Cos'è un certificato SSL/TLS?

Un certificato SSL/TLS è un oggetto digitale che consente ai sistemi di verificare l'identità e successivamente stabilire una connessione di rete crittografata a un altro sistema utilizzando il protocollo Secure Sockets Layer/Transport Layer Security (SSL/TLS). I certificati vengono utilizzati all'interno di un sistema crittografico noto come infrastruttura a chiave pubblica (PKI, Public Key Infrastructure). L'infrastruttura a chiave pubblica fornisce a una parte un modo per stabilire l'identità di una seconda parte mediante i certificati, nel caso in cui entrambe ritengano attendibile una terza parte, nota come autorità di certificazione. I certificati SSL/TLS pertanto funzionano come carte d'identità digitali per proteggere le comunicazioni di rete e stabilire l'identità dei siti Web su Internet e delle risorse su reti private.

Perché i certificati SSL/TLS sono importanti?

I certificati SSL/TLS stabiliscono la fiducia tra gli utenti del sito Web. Le aziende installano certificati SSL/TLS sui server Web per creare siti Web protetti da SSL/TLS. Le caratteristiche di una pagina Web protetta da SSL/TLS sono le seguenti:

  • Un'icona a forma di lucchetto e una barra degli indirizzi verde nel browser Web
  • Un prefisso https sull'indirizzo del sito Web sul browser
  • Un certificato SSL/TLS valido. Puoi verificare se il certificato SSL/TLS è valido facendo clic ed espandendo l'icona del lucchetto nella barra degli indirizzi URL.
  • Una volta stabilita la connessione crittografata, solo il client e il server Web possono vedere i dati inviati.

Di seguito forniamo alcuni vantaggi dei certificati SSL/TLS.

Protezione dei dati privati

I browser convalidano il certificato SSL/TLS di qualsiasi sito Web per avviare e mantenere connessioni sicure con il server del sito Web. La tecnologia SSL/TLS aiuta a garantire la crittografia di tutte le comunicazioni tra il browser e il sito Web.

Rafforzare la fiducia

I clienti esperti di Internet comprendono l'importanza della privacy e vogliono fidarsi dei siti Web che stanno visitando. Un sito Web protetto da SSL/TLS ha l'icona del lucchetto verde, che i clienti percepiscono come sicura. La protezione SSL/TLS aiuta i clienti a sapere che i loro dati sono protetti quando li condividono con la tua azienda.

Garanzia della conformità normativa

Alcune aziende devono rispettare le normative del settore per la riservatezza e la protezione dei dati. Ad esempio, le aziende del settore delle carte di pagamento devono aderire allo standard PCI DSS. PCI DSS è un requisito del settore per fornire transazioni online sicure, inclusa la protezione del server Web con un certificato SSL/TLS. 

Migliora SEO

I principali motori di ricerca hanno reso la protezione SSL/TLS un fattore di posizionamento per l'ottimizzazione dei motori di ricerca. Un sito Web protetto da SSL/TLS si posizionerà probabilmente più in alto nel motore di ricerca rispetto a un sito Web simile senza un certificato SSL/TLS. Ciò aumenta i visitatori dai motori di ricerca al sito Web protetto da SSL/TLS. 

Quali sono i principi chiave nella tecnologia dei certificati SSL/TLS?

SSL/TLS è l'acronimo di secure socket layer and transport layer security. È un protocollo o una regola di comunicazione che consente ai sistemi informatici di parlare tra loro su Internet in modo sicuro. I certificati SSL/TLS consentono ai browser Web di identificare e stabilire connessioni di rete criptate per i siti Web che utilizzano il protocollo SSL/TLS.

Crittografia

La crittografia è la codifica del messaggio originale in modo che possa essere decrittografato solo dal destinatario previsto. Ad esempio, si cambia la parola cat in ecv spostando ogni lettera in avanti nell'alfabeto di due posizioni. Il destinatario conosce la regola (o la chiave) e inverte ogni lettera di due posizioni per leggere la parola vera e propria. La crittografia SSL/TLS si basa su questo concetto utilizzando la crittografia a chiave pubblica, con due chiavi diverse per crittografare e decrittografare un messaggio. L'infrastruttura a chiave pubblica fornisce a una parte un modo per stabilire l'identità di una seconda parte mediante i certificati, nel caso in cui entrambe ritengano attendibile una terza parte, nota come autorità di certificazione. L'autorità di certificazione verifica il certificato e autentica entrambe le parti prima dell'inizio della comunicazione.

I due tipi di chiave sono:

Chiave pubblica

Il browser e il server Web comunicano codificando e decodificando le informazioni utilizzando coppie di chiavi pubbliche e private. La chiave pubblica è una chiave di crittografia che il server Web fornisce al browser nel certificato SSL/TLS. Il browser utilizza la chiave per crittografare le informazioni prima di inviarle al server Web.

Chiave privata

Solo il server Web dispone della chiave privata. Un file crittografato dalla chiave privata può essere decrittografato solo dalla chiave pubblica e viceversa. Se la chiave pubblica può decrittografare solo il file che è stato crittografato dalla chiave privata, essere in grado di decrittografare quel file assicura che il destinatario e il mittente previsti siano quelli che dichiarano di essere.

Autenticazione

Il server invia la chiave pubblica nel certificato SSL/TLS al browser. Il browser verifica il certificato da una terza parte attendibile. Quindi, può verificare che il server Web è chi afferma di essere.

Firma digitale

Una firma digitale è un numero univoco per ogni certificato SSL/TLS. Il destinatario genera una nuova firma digitale e la confronta con la firma originale per garantire che parti esterne non abbiano manomesso il certificato mentre viaggiava in rete.

Chi convalida i certificati SSL/TLS?

Un'autorità di certificazione (CA) è un'organizzazione che vende certificati SSL/TLS a proprietari di siti Web, società di Web hosting o aziende. La CA convalida i dettagli del dominio e del proprietario prima di emettere il certificato SSL/TLS. Per essere una CA, un'organizzazione deve soddisfare requisiti specifici stabiliti dal sistema operativo, dai browser o dalla società di dispositivi mobili e richiedere di essere elencata come autorità di certificazione root. Questo è importante per stabilire la fiducia tra gli utenti di Internet. Ad esempio, Amazon Trust Services è un'autorità di certificazione e può emettere certificati SSL/TLS ai siti Web. 

Qual è il periodo di validità del certificato SSL/TLS?

Un certificato SSL/TLS ha un periodo di validità massimo di 13 mesi. La validità del certificato SSL/TLS è stata gradualmente ridotta nel corso degli anni. L'intenzione è ridurre i rischi per la sicurezza che interessano le aziende e gli utenti del Web. Ad esempio, terze parti non attendibili potrebbero utilizzare un certificato SSL/TLS valido di un dominio scaduto per creare un sito Web non autorizzato. 

Riducendo il periodo di validità, si riducono le possibilità di un uso improprio dei certificati SSL/TLS. Alla scadenza del certificato SSL/TLS, i visitatori Web ricevono un avviso sul browser che indica che il sito Web non è protetto. L'organizzazione revoca il vecchio certificato SSL/TLS e lo sostituisce con uno nuovo. Per evitare incidenti di sicurezza, il processo di rinnovo deve avvenire prima della scadenza del certificato precedente.

Cosa è incluso in un certificato SSL/TLS?

Un certificato SSL/TLS contiene le seguenti informazioni. 

  • Nome dominio
  • Autorità di certificazione
  • Firma digitale dell'autorità di certificazione
  • Data di emissione
  • Data di scadenza
  • Chiave pubblica
  • Versione SSL/TLS

TLS è l'acronimo di Transport Layer Security. È il successore e la continuazione del protocollo SSL/TLS versione 3.0. Ci sono solo lievi differenze tecniche tra SSL/TLS e TLS. Come SSL/TLS, TLS fornisce un canale di trasmissione dati crittografato tra un browser e il server Web. I moderni certificati SSL/TLS utilizzano il protocollo TLS invece di SSL/TLS, ma SSL/TLS rimane un acronimo popolare tra gli esperti di sicurezza. Sebbene non siano esattamente uguali, i termini SSL e TLS sono comunemente usati per indicare la stessa cosa. Potrebbero anche fare riferimento al protocollo di crittografia crittografica come SSL/TLS.

Come funziona un certificato SSL/TLS?

I browser utilizzano il certificato SSL/TLS per avviare una connessione sicura con il server Web tramite l'handshake SSL/TLS. L'handshake SSL/TLS fa parte della tecnologia di comunicazione HTTPS (hypertext transfer protocol secure). È una combinazione di HTTP e SSL/TLS. HTTP è un protocollo utilizzato dai browser Web per inviare informazioni in testo semplice a un server Web. HTTP trasmette dati non crittografati, il che significa che le informazioni inviate da un browser possono essere intercettate e lette da terzi. I browser utilizzano HTTP con SSL/TLS o HTTPS per comunicazioni completamente sicure.

Handshake SSL/TLS

L'handshake SSL/TLS prevede i seguenti passaggi:

 

  1. Il browser apre un sito Web protetto da SSL/TLS e si connette al server Web.
  2. Il browser tenta di verificare l'autenticità del server Web richiedendo informazioni identificabili. 
  3. Il server Web invia il certificato SSL/TLS che contiene una chiave pubblica come risposta.
  4. Il browser verifica il certificato SSL/TLS, assicurando che sia valido e corrisponda al dominio del sito web. Una volta che il browser è soddisfatto del certificato SSL/TLS, utilizza la chiave pubblica per crittografare e inviare un messaggio che contiene una chiave di sessione segreta.
  5. Il server Web utilizza la propria chiave privata per decrittografare il messaggio e recuperare la chiave di sessione. Quindi utilizza la chiave di sessione per crittografare e inviare un messaggio di conferma al browser.
  6. Ora, sia il browser che il server Web passano all'utilizzo della stessa chiave di sessione per scambiare messaggi in modo sicuro. 

Chiave di sessione 

Una chiave di sessione mantiene la comunicazione crittografata tra il browser e il server Web dopo il completamento dell'autenticazione SSL/TLS iniziale. La chiave di sessione è una chiave di cifratura per la crittografia simmetrica. La crittografia simmetrica utilizza la stessa chiave sia per la crittografia che per la decrittografia. La crittografia asimmetrica occupa un'immensa potenza di calcolo. Pertanto, il server Web passa alla crittografia simmetrica che richiede meno calcoli per mantenere una connessione SSL/TLS.

Cos'è Gestione certificati AWS?

Gestione certificati AWS (ACM) è un servizio che semplifica il provisioning, la gestione e la distribuzione di certificati SSL/TLS pubblici e privati per l'uso con servizi AWS e risorse connesse interne. ACM rimuove il lungo processo manuale di acquisto, caricamento e rinnovo dei certificati SSL/TLS. Puoi invece richiedere con la massima rapidità un certificato, implementarlo su risorse AWS integrate con ACM, come Elastic Load Balancing, distribuzioni Amazon CloudFront o API su Gateway Amazon API e consentire a Gestione certificati AWS di gestirne il rinnovo. Il servizio, inoltre, permette di creare certificati privati per le risorse interne e di gestirne il ciclo di vita in modo centralizzato.

Le organizzazioni utilizzano ACM per semplificare l'applicazione, l'implementazione e il rinnovo dei certificati SSL/TLS. Invece del tradizionale processo di generazione e invio di una richiesta di firma del certificato (CSR) a un'autorità di certificazione, è possibile creare un certificato SSL/TLS gestito da ACM con pochi clic. 

Inizia a usare oggi stesso Gestione certificati AWS registrandoti per un account AWS.

Quali sono i tipi di certificati SSL/TLS?

I certificati SSL/TLS differiscono in base alla convalida e al dominio. I certificati con diversi livelli di convalida sono classificati come:

  • Certificati di convalida estesa
  • Certificati convalidati dall'organizzazione
  • Certificati convalidati dal dominio

I certificati SSL/TLS che supportano diversi tipi di dominio sono:

  • Certificato a dominio singolo
  • Certificato jolly
  • Certificato multi-dominio

Certificati di convalida estesa 

Un certificato di convalida estesa (SSL/TLS EV) è un certificato digitale con il più alto livello di crittografia, convalida e affidabilità. Quando si richiede un SSL/TLS EV, un'organizzazione o un proprietario Web sono sottoposti a severi controlli da parte delle autorità di certificazione. Ciò include la verifica dell'indirizzo aziendale fisico, la corretta richiesta del certificato e i diritti esclusivi per l'utilizzo del dominio. 

 

Le aziende utilizzano SSL/TLS EV per proteggere gli utenti da terze parti non autorizzate. Questo è importante quando l'azienda elabora dati sensibili sul sito Web, come ad esempio transazioni finanziarie e cartelle cliniche. Un certificato SSL/TLS EV contiene i dettagli dell'organizzazione aziendale che possono essere visualizzati su un browser.

Certificati di convalida dell'organizzazione

I certificati di convalida dell'organizzazione (SSL/TLS OV) sono secondi rispetto a EV SSL/TLS in termini di convalida e affidabilità. Come SSL/TLS EV, le aziende devono passare attraverso un processo di verifica quando richiedono SSL/TLS OV. Sebbene il processo di verifica sia meno rigoroso, i richiedenti devono dimostrare la proprietà del dominio alle autorità di certificazione.

Il certificato SSL/TLS OV contiene informazioni aziendali convalidate e può essere ispezionato sul browser. Le aziende commerciali e a contatto con i clienti utilizzano il certificato SSL/TLS OV per creare fiducia tra i clienti. SSL/TLS OV fornisce una solida crittografia per proteggere la privacy dei clienti durante la navigazione sul Web. 

Certificati di convalida del dominio

I certificati di convalida del dominio (SSL/TLS DV) sono certificati digitali con il livello di convalida più basso. Inoltre costano meno richiederli. A differenza degli SLL EV e degli SSL/TLS OV, i richiedenti certificati DV passano attraverso un processo di verifica meno rigoroso. Il richiedente dimostra la proprietà del dominio rispondendo a un'e-mail o una telefonata di verifica.

Un certificato DV non contiene informazioni complete sull'organizzazione o sull'azienda del richiedente. Pertanto, non fornisce un'elevata garanzia agli utenti. I certificati DV sono adatti per siti Web informativi, come i blog. Non sono ideali per gateway di pagamento, aziende sanitarie o altri siti Web che gestiscono dati sensibili.

Certificati SSL/TLS a dominio singolo

Un certificato SSL/TLS a dominio singolo è un certificato SSL/TLS che protegge solo un dominio o un sottodominio. Un dominio è l'URL o l'indirizzo principale di un sito Web, ad esempio amazon.com. Un sottodominio è un indirizzo Web con un'estensione di testo che precede il dominio principale, ad esempio thinkwithwp.com.

Ad esempio, è possibile utilizzare un certificato SSL/TLS a dominio singolo su http://example.com. Tuttavia, non è possibile utilizzare il certificato per http://example.com e sub.example.com contemporaneamente.

Certificati SSL/TLS jolly

Un certificato SSL/TLS jolly è un certificato SSL/TLS che protegge un dominio e tutti i relativi sottodomini. Ad esempio, è possibile utilizzare un certificato SSL/TLS jolly per proteggere http://example.com, blog.example.com e shop.example.com.

Certificati SSL/TLS multidominio

I certificati multidominio sono noti anche come certificati di comunicazione unificata. Un certificato SSL/TLS multidominio offre protezione SSL/TLS per più nomi di dominio ospitati sullo stesso server o su server diversi con la stessa proprietà. Ad esempio, puoi acquistare un certificato multidominio per http://example1.com, domain2.co.uk, shop.business3.com e chat.message.au

Fasi successive della certificazione SSL con AWS

Scopri ulteriori risorse correlate al prodotto
Scopri di più sui servizi di certificazione SSL 
Registrati per creare un account gratuito

Ottieni accesso istantaneo al piano gratuito di AWS. 

Registrati 
Inizia a creare nella console

Inizia a utilizzare il cloud ibrido di AWS nella Console di gestione AWS.

Accedi