Cos’è il protocollo SSL

Applicazioni del protocollo SSL e dei certificati SSL

Nell’epoca della sicurezza informatica se ne sente molto parlare, ma non tutti sanno esattamente cosa sia il protocollo SSL, come funziona e perché è utile. In questo post vedremo in cosa consiste, come viene utilizzato online e in che modo possiamo approfittarne anche noi per proteggere i nostri dispositivi.

Cos’è il protocollo SSL

Il protocollo SSL e il suo successore, il protocollo TLS, sono metodi di trasmissione sicura di dati digitali. La sigla inglese SSL sta per Secure Socket Layer (letteralmente livello di socket sicuro) e a grandi linee significa che la metodologia di invio e ricezione dei dati è sicura. Questo protocollo prevede la negoziazione tra il mittente e il destinatario (in genere un browser e un server in rete) di una chiave di crittografia con cui vengono criptati i dati trasmessi, affinché non possano essere intercettati da estranei.

Funzionamento del protocollo SSL

La comunicazione tramite protocollo SSL segue questi passaggi:

1. Negoziazione: il client e il server stabiliscono il protocollo di crittografia, quello per lo scambio delle chiavi di cifratura e l’algoritmo di autenticazione.
2. Scambio delle chiavi e autenticazione: client e server si inviano le rispettive chiavi e verificano reciprocamente la propria attendibilità tramite l’autenticazione.
3. Cifratura simmetrica e autenticazione delle chiavi: una volta autenticati, client e server applicano le chiavi di cifratura ai dati e, alla ricezione, autenticano la chiave da utilizzare in un processo continuo (ma per fortuna velocissimo) di comunicazione bidirezionale.

Applicazioni del protocollo SSL

La principale applicazione del protocollo SSL è il protocollo di rete HTTPS, ovvero l’evoluzione del protocollo HTTP per reti TCP/IP, che abbiamo già trattato nel nostro post sui pregi e limiti del protocollo HTTPS. Tramite la tecnologia SSL, l’HTTPS verifica l’attendibilità dei servizi e siti web a cui il browser sta cercando di collegarsi, esaminandone l’eventuale certificato SSL.

Certificati SSL

In Internet si è creata la prassi di garantire ai visitatori la sicurezza degli scambi di informazioni e la protezione dei dati personali inseriti. A tal fine, sono state create delle autorità di certificazione che esaminano i siti web e rilasciano i certificati SSL.

I siti web che ottengono un certificato possono utilizzare il protocollo HTTPS ed esibire il certificato sul proprio sito. Detto in altri termini, un certificato SSL garantisce l’affidabilità di un sito e cripta i dati trasmessi su di esso mediante il protocollo SSL.

Ci sono tre livelli di convalida del sito a cui corrispondono tre tipi di certificati SSL:

• Domain validation: è il meno costoso, comprende la crittografia di base e la verifica della titolarità della registrazione del dominio.
• Organization validation: per ottenere questo certificato il richiedente deve autenticare anche alcuni dati personali (o dell’impresa) come il nome e l’indirizzo.
• Extended validation (EV): garantisce il livello di sicurezza più alto possibile. Oltre alla proprietà della registrazione del nome di dominio e l’autenticazione dell’organizzazione, viene verificata l’esistenza legale, materiale e funzionale del soggetto.

Vantaggi dei certificati SSL per gli utenti

Quando ti connetti a un sito su cui è necessario inserire dati personali (login, numero di telefono, numeri di carta di credito e così via), ti consigliamo di verificare SEMPRE che sia in possesso di un certificato SSL, meglio ancora se del tipo Extended Validation. Per farlo, vai alla barra di navigazione del browser e controlla che l’indirizzo del sito inizi con https:// e non con http:// (senza la S finale). Inoltre, puoi fare clic sull’icona a forma di lucchetto a sinistra dell’URL per visualizzare i dettagli del certificato SSL del sito.

I certificati e l’uso del protocollo SSL sono ormai uno standard del settore, al punto che Chrome li considera obbligatori e comunica all’utente la loro mancanza quando si cerca di contattare un servizio web basato su dati personali. Per questo motivo, ti consigliamo di prestare attenzione ai messaggi del browser e di non sottovalutare la mancanza del certificato SSL su certi siti.

Importante: per i siti su cui non è previsto l’inserimento di dati personali – come il dizionario Treccani – il certificato SSL non è indispensabile e puoi interagirci senza nessun problema, anche se nella barra di navigazione il browser mostra la dicitura “non sicuro”.

Al contrario, come consigliato anche nella Guida di Google Chrome, evita di utilizzare i siti contrassegnati come Pericolosi, con un’icona di un triangolo rosso di pericolo accanto.

Infine, è importante anche controllare l’autorità di certificazione che ha rilasciato il certificato. Per fortuna, tutti i browser dispongono di un elenco interno di fonti attendibili. Se il certificato del sito visitato è stato rilasciato da un’organizzazione che non compare nell’elenco, il browser informa l’utente riguardo all’inattendibilità della certificazione.

Consigli di sicurezza per la navigazione con il protocollo SSL

Per finire, ecco alcuni semplici consigli per navigare sicuri:

• Installa un buon software di cybersicurezza e mantienilo sempre aggiornato
• Aggiorna regolarmente il browser
• Fai attenzione ai siti in cui inserisci i tuoi dati personali
• Se ricevi un errore di connessione dovuto al protocollo SSL, non lo sottovalutare e NON seguire ciecamente tutti i consigli che trovi in rete. Ad esempio NON disattivare la scansione del protocollo SSL dell’antivirus.

Buona navigazione sicura con il protocollo SSL!