Certificati di sicurezza

Scritto da Alessandra De Rosa on . Postato in Sicurezza, Sicurezza

Cos’è un certificato TSL/SSL?

TLS/SSL server certificato

Il TLS (precedentemente noto come SSL), è un server richiesto per presentare un certificato come parte della configurazione iniziale della connessione.

Un client che si connette a tale server eseguirà l’algoritmo di convalida del percorso di certificazione:

  • L’oggetto del certificato corrisponde al nome host a cui il client cerca di connettersi
  • Il certificato è firmato da un’autorità di certificazione attendibile.

Il nome host principale (nome di dominio del sito) viene elencato come Nome comune nel campo Oggetto del certificato. Un certificato può essere valido per più nomi host (più siti web). Tali certificati sono comunemente denominati certificati SAN (Subject Alternative Name) o certificati di comunicazione unificata (certificati UCC). Se alcuni dei nomi host contengono un asterisco (*), un certificato può anche essere chiamato un certificato wildcard.

Un server TLS può essere configurato con un certificato auto-firmato. In questo caso, i client non saranno in genere in grado di verificare il certificato e terminano la connessione a meno che il controllo dei certificati non sia disattivato.

TLS/SSL client certificato

I certificati client sono meno comuni dei certificati server e vengono utilizzati per autenticare il client che si connette a un servizio TLS, ad esempio per fornire un controllo di accesso. Poiché la maggior parte dei servizi fornisce l’accesso agli individui, piuttosto che ai dispositivi, la maggior parte dei certificati client contengono un indirizzo email o un nome personale piuttosto che un nome host. Inoltre, poiché l’autenticazione è di solito gestita dal provider di servizi, i certificati client non vengono generalmente rilasciati da una CA pubblica che invece fornisce certificati server. I certificati client sono supportati da molti browser Web, ma la maggior parte dei servizi utilizza password e cookie per autenticare gli utenti, anziché i certificati client.I certificati client sono più comuni nei sistemi RPC, in cui vengono utilizzati per autenticare i dispositivi per garantire che solo dispositivi autorizzati possano effettuare chiamate RPC.

 

Come funziona il TSL/SSL?

Alcune applicazioni sono già in grado di ricevere connessioni tramite l’utilizzo di ‘SSL, tra queste troviamo i web browser come Internet Explorer e Firefox, programmi di gestione della posta come Outlook, Mozilla Thunderbird, Apple Mail app, e programmi SFTP (Secure File Transfer Protocol).
Per stabilire una connessione sicura tramite TSL/SSL, è necessario che la tua applicazione abbia una chiave di protezione, chiave che deve essere assegnata da un’Authority preposta che la rilascierà sotto forma di certificato.

 

Validazioni

Validazione attraverso l’autenticazione del dominio:
Il processo di autenticazione verifica che il richiedente abbia i permessi di amministratore per il dominio per cui si richiede il certificato.

Validazione attraverso l’autenticazione dell’azienda:
la validazione include la verifica dell’azienda, la verifica del dominio e che il contatto che richiede il certificato per conto dell’azienda o dell’organizzazione sia effettivamente un dipendente dell’azienda stessa.

Autenticazione tramite Extended Validation (EV): 
questo è il più alto livello di autenticazione disponibile per un certificato SSL (E’ necessario un accordo firmato tra il contatto e l’azienda per cui verrà emesso il certificato).
Con l’EV, i visitatori che utilizzano un browser che gestisce l’high-security potranno vedere la barra degli indirizzi di colore verde, un segno visibile che il sito è autenticato con procedure di validazione avanzate. Prima che l’utente inserisca dati di carte di credito e informazioni personali sensibili vogliono essere sicuri di essere nel sito corretto e che le loro informazioni siano protette. Inoltre nella barra degli indirizzi viene visualizzato il nome dell’azienda certificata e dell’ente che ha rilasciato il certificato. Queste informazioni sono visibili immediatamente e trasmettono all’utente la fiducia necessaria per completare le loro transazioni.

 

Google+