|
|
|
| Esistono molte Certification Authoritiy (CA) che offrono certificati digitali, ognuna con i propri certificati diversi. Per gli utenti che si avvicinano per la prima volta ai certificati digitali è spesso difficile prendere una decisione di acquisto consapevole. Allo stesso modo, può accadere che gli utenti esperti a volte non comprendano determinate sfaccettature dei prodotti disponibili sul mercato. |
| Cerchiamo di fornire consulenze imparziali sul modo in cui avvicinarsi all'acquisto di certificati SSL chiarendo nel contempo determinati punti critici sui prodotti e sul settore che vengono spesso fraintesi. Speriamo che le informazioni fornite vi siano di aiuto nella scelta di quale prodotto acquistare per la vostra attività e le vostre esigenze di sicurezza. |
| 1. Quando è necessario utilizzare un certificato digitale? |
| Rendere sicura la trasmissione delle informazioni finanziarie nell'e-commerce è attualmente una delle applicazioni principali dei certificati SSL. Tuttavia, con l'aumento dei furti di identità, la protezione delle informazioni personali sta diventando addirittura più importante. Questa categoria di dati include l'identità e i numeri di previdenza sociale e gli indirizzi e-mail. |
| Quindi, se si eseguono transazioni finanziarie sul proprio sito web, i certificati SSL sono assolutamente necessari. In caso di trattamento di dati sensibili dei clienti, l'uso di certificati SSL deve essere tenuto in seria considerazione, specialmente se la sicurezza e la privacy del cliente/socio sono ai primi posti nella vostra lista delle priorità. |
| 2. Perché utilizzare un certificato digitale? |
| Esistono due ragioni principali per cui utilizzare un certificato digitale: |
| 1. dimostrare l'identità della propria società (o del proprio server) online e, in tal modo, creare un senso di fiducia e sicurezza nell'utilizzo di tale sito web. |
| 2. Offrire la protezione dei dati presentati al vostro sito web (o tra più server) per mezzo della crittografia. Anche se venissero intercettate, le informazioni sarebbero incomprensibili senza la chiave unica per la decrittazione. |
| Nella valutazione di un tipo di certificato, accertarsi che soddisfi ognuno di questi requisiti. |
| 3. Che livello di autenticazione offre il certificato? |
| Nell'assicurare il sito web con un certificato digitale, l'obiettivo principale deve essere quello di dimostrare la propria identità online creando in questo modo un rapporto di fiducia con i soggetti con cui si desidera interagire online. In questo senso, l'autenticazione si rivela l'elemento più importante di un certificato digitale. |
| L'autenticazione fornisce agli utenti la dimostrazione che: |
| 1. la società in oggetto esiste ed e'in attivita'. |
| 2. si stanno collegando al server corretto |
| Il livello di autenticazione di un certificato può essere visto come un'indicazione della sua qualità; maggiore è il livello di autenticazione fornito, maggiore sarà la qualità del certificato. È quindi importante comprendere che i vari certificati digitali disponibili differiscono per livello di autenticazione, a seconda della CA di emissione o anche del prodotto specifico. |
| Alcune CA eseguono solo un'autenticazione di base,prima di emettere un certificato, mentre altre eseguono controlli dettagliati per assicurare l'identità dell'organizzazione richiedente. Di seguito sono riportati i vari controlli di autenticazione eseguiti dalle CA: |
- Controllo del dominio per confermare che la società richiedente possegga il dominio.
- Verifica dell'esistenza della società per confermare che sia un'organizzazione legalmente registrata.
- Verifica dell'identità dell'individuo che richiede il certificato, per confermare che sia un rappresentante autorizzato.
|
| Tutte le CA eseguono una o più di queste verifiche di autenticazione. Il risultato è una gamma di prodotti che si differenziano notevolmente per livello di qualità. È importante notare che più verifiche di autenticazione vengono eseguite, migliore risulta la qualità del certificato. Prima dell'acquisto, quindi, è bene determinare esattamente quali verifiche di autenticazione vengono eseguite. |
| 4. Cosa significa essere conformi al WebTrust? |
| Molte CA si sono conformate al WebTrust solo perchè ora Microsoft richiede che una CA completi un WebTrust per la certificazione delle Certification Authority per poter includere i propri certificati root in Windows XP / Internet Explorer. Ma è importante comprendere esattamente cosa comporti tale certificazione. Il WebTrust non impone nessuno standard per le CA e non monitora o regola alcuno standard esistente. |
| La conformità al WebTrust non dice nulla sulla qualità dell'autenticazione offerta; conferma semplicemente che la CA in oggetto aderisce alle loro politiche e procedure di autenticazione. Questo significa che purtroppo la conformità al WebTrust non fornisce un parametro utile per il confronto delle CA. |
| 5. Qual'è la forza di un certificato? (cos'è la tecnologia SGC) |
| La potenza di crittografia di un certificato digitale è determinata dal livello di crittografia supportato dal browser utilizzato per collegarsi ad un sito web e dal server in cui risiede il sito web. Questo significa che gli utenti possono collegarsi a 40 bit, 56 bit o 128 bit a seconda della versione del browser che stanno utilizzando. |
| La maggior parte dei certificati digitali funziona in questo modo: fornisce la crittografia supportata dal browser o dal sever. È importante comprendere questa distinzione in quanto molte CA promuovono i loro certificati a 128 bit quando, in realtà, supportano sessioni con varie crittografie (128 bit corrisponde al livello di crittografia massimo possibile). |
| Nel passato, la legge degli Stati Uniti vietava l'esportazione della tecnologia di crittografia a 128 bit. Questo ha portato alla creazione delle versioni browser cosiddette "di esportazione" limitate a livelli di crittografia a 40 bit e 56 bit. Questi browser sono stati distribuiti fuori dagli Stati Uniti per molti anni e sono stati scaricati anche da utenti degli Stati Uniti. Nel 1997 il governo degli Stati Uniti ha revocato il bando nei confronti della crittografia a 128 bit. Oggi tuttavia vengono ancora utilizzate numerose versioni di browser da esportazione soprattutto all'estero, ma anche negli Stati Uniti. |
| Sono stati messi a punto dei certificati digitali dotati di crittografia a 128 bit per quei browser con crittografia predefinita a 40 bit o 56 bit (le cosiddette versioni browser "da esportazione") che includono IE 5.01 e Netscape 4.7x e successive. Questi certificati sono dotati di una tecnologia chiamata Server Gated Cryptography (SGC) in grado di aggiornare automaticamente questi browser al livello di crittografia a 128 bit. Solo poche CA forniscono questi certificati, quindi se avete bisogno di una capacità di crittografia a 128 bit, richiedete la tecnologia SGC |
| 7. Qual'è il prodotto che fa per voi? |
| Ci sono vari fattori che influenzano la scelta di un certificato digitale. |
| In primo luogo è necessario considerare la sensibilità dei dati da proteggere. È logico che le informazioni personali, finanziarie e commerciali strettamente confidenziali richiedano i massimi livelli di autenticazione e crittografia. In alternativa si potrebbe affermare che esistono altre applicazioni che non richiedono queste severe misure di sicurezza. Fondamentalmente è necessario categorizzare i vari tipi di dati che si gestiscono in base alla loro importanza per la vostra attività e selezionare un certificato digitale per la funzione desiderata. |
| In alcuni paesi il livello di crittografia necessario per la protezione dei dati è stabilito dalla legge. Questo tipo di legge si applica normalmente ai settori ad alto volume di dati in cui la sicurezza e la privacy svolgono un ruolo fondamentale, come i servizi finanziari o la sanità. Solitamente le società devono garantire di proteggere i loro dati con crittografia a 128 bit (un requisito che comporta l'utilizzo di uno speciale tipo di certificato digitale). In questo caso la scelta ricade sicuramente sui certificati digitali in grado di passare ad una crittografia a 128 bit. |
| Può essere utile considerare anche la posizione geografica della propria base di clienti/utenti. Il motivo è che,determinate versioni di browser più vecchie che esistono ancora numerose,a livello internazionale,non supportano automaticamente la crittografia a 128 bit, ma solo quella a 40 bit e 56 bit. Di solito si tratta dei cosiddetti browser "da esportazione" che sono stati presenti sul mercato al di fuori degli Stati Uniti per molti anni. Non è servito a nulla che gli utenti degli Stati Uniti abbiano scaricato anch'essi questi browser da esportazione da siti non degli Stati Uniti. Quindi, se la vostra attività ha luogo al di fuori degli Stati Uniti ed è importante che disponiate della crittografia a 128 bit, è fondamentale che implementiate la tecnologia SGC. |
| Infine, è utile considerare la durata del progetto in questione. La maggior parte dei certificati è disponibile in versioni da 1 anno o 2 anni (o con durata maggiore). Se si prevede che il progetto abbia una durata maggiore è ragionevole considerare la scelta del certificato da 2 anni in quanto questa,non solo permette di godere dei risparmi sui costi spesso offerti su questi prodotti, ma presenta l'ulteriore vantaggio di aumentare la convenienza,riducendo la frequenza dei lavori tecnici e amministrativi legati all'installazione durante il rinnovo del certificato. |
| 8. Riuscite ad ottenere l'assistenza tecnica post vendita di cui avete bisogno? |
| A seconda del livello di esperienza con i certificati digitali, può accadere che necessitate di assistenza in vari momenti del ciclo di vita del prodotto, dalla richiesta iniziale di un certificato, all'installazione, al rinnovo e all'eventuale nuova emissione di un certificato. |
| Accertatevi di valutare le capacità di assistenza della CA che state prendendo in considerazione. Cercate di guardare oltre il processo iniziale di vendita in quanto sono le circostanze più imprevedibili,come la migrazione del server, quelle in cui l'assistenza del assistenza tecnica si rivela preziosa. |
| 9. Cos'è la tracciabilità della CA? |
| Nel commercio è sempre ragionevole acquistare da fornitori accreditati e affermati,ancora di più per l'odierno settore high tech. Questo si rivela particolarmente importante nell'acquisto di prodotti di sicurezza,come i certificati digitali in cui l'utilizzo di una CA accreditata si dimostra fondamentale per lo svolgimento dell'attività online. |
| La tracciabilità delle CA può fornire alcune risposte ad altri quesiti presi in considerazione in questa sede. Per esempio, più tempo una CA è stata sul mercato, più è probabile che la sua infrastruttura di assistenza sia esperta e meglio sviluppata. |
| 10. Vi siete rivolti ad una root CA? |
| Esistono due tipi di CA: Root CA e Chained CA. Per le Root CA, i root dei certificati sono installati nei browser principali mentre le Chained CA emettono i certificati dal root delle Root CA. |
| Il motivo dell'esistenza delle Chained CA è legato al problema della compatibilità dei certificati con i diversi tipi e le diverse versioni di browser attualmente in uso. Le CA che esistono da molto tempo sono state in grado di includere i loro root in ogni tipo e versione di browser emessi nel corso degli anni. In questo modo, la loro compatibilità tra certificato e browser è estremamente alta. Le nuove CA non sono in grado di raggiungere tale livello di compatibilità perchè riescono ad includere i propri root solo nelle versioni browser più recenti e l'unico modo in cui possono ottenere il livello di compatibilità desiderato è quello di emettere certificati firmati con il root di una CA che disponga già del livello di compatibilità desiderato (questo processo è chiamato “Chaining”). |
| Il principale inconveniente nell'utilizzo di una Chained CA è che queste non posseggono e quindi non controllano il root utilizzato per emettere i loro certificati. Dal punto di vista del cliente del certificato, questo può portare a potenziali problemi in quanto i loro certificati sono vulnerabili e possono essere invalidati in caso le condizioni dell'accordo di chaining vengano violate o modificate in seguito ad un cambio di proprietà del root. |
