Una guida all'acquisto del certificato SSL / TLS

Articolo scritto da:
  • Business Online
  • Aggiornato: Lug 02, 2019

A nessuno piace essere detto che DEVONO fare qualcosa. È solo la natura umana a ribellarsi a questo, ma a volte il meglio che puoi fare è morderti il ​​labbro e andare con esso. Questo è il caso con il mandato HTTPS che è stato tramandato da Google e dalla scorsa estate da altri produttori di browser.

Al giorno d'oggi, qualsiasi sito web ancora servito tramite HTTP è etichettato come "Non sicuro", un epiteto che minaccia traffico e conversioni. Ciò significa che ogni sito ha ora bisogno di un certificato SSL / TLS, che facilita la migrazione a HTTPS e aiuta a proteggere la comunicazione tra il tuo sito web e i suoi visitatori.

A partire da luglio 2018, Chrome ha contrassegnato tutti i siti HTTP come "non sicuri" (saperne di più).

Questa guida tratterà le cose che devi considerare quando acquisti un certificato SSL / TLS. Inizieremo con una breve panoramica della tecnologia prima di esaminare le specifiche che dovrai selezionare per decidere il certificato giusto per te e il tuo sito web.

SSL / TLS 101: una panoramica

Per comunicare in modo sicuro su Internet, il server che ospita il sito Web e il client che tenta di connettersi devono utilizzare la crittografia. La crittografia è un processo matematico rende i dati illeggibili a chiunque tranne che a una parte autorizzata. Viene eseguito utilizzando le chiavi di crittografia e per consentire a client e server di connettersi in modo sicuro entrambi devono possedere una copia della stessa chiave.

Tuttavia, questo presenta un problema, come scambiare in modo sicuro quelle chiavi? Se un utente malintenzionato è in grado di compromettere una chiave di crittografia, rende la crittografia inutile perché l'autore dell'attacco può ancora vedere tutti i dati scambiati come se fosse in chiaro.

SSL / TLS è la soluzione al problema dello scambio di chiavi.

SSL / TLS realizza due cose:

  1. Autentica il server in modo che i client sappiano a quale entità si stanno connettendo
  2. Facilita lo scambio di una chiave di sessione che può essere utilizzata per comunicare in modo sicuro

Potrebbe sembrare un po 'astratto quindi mettiamolo in moto.

Ogni volta che un client tenta di connettersi con un sito Web tramite HTTPS - che è la versione sicura del protocollo HTTP (Hypertext Transfer Protocol) che Internet ha usato per decenni - una serie di interazioni avviene dietro le quinte tra detto client e il server che ospita il sito.

Esistono due tipi di chiavi di crittografia coinvolte nella crittografia SSL / TLS. Ci sono le chiavi di sessione simmetriche che abbiamo appena menzionato. Quelli possono sia criptare che decifrare e sono usati per comunicare durante la connessione stessa. Le altre chiavi sono la coppia di chiavi pubblica / privata. Questa forma di crittografia è chiamata crittografia a chiave pubblica. La chiave pubblica può crittografare, la chiave privata decripta.

All'inizio, il client e il server sceglieranno una suite di crittografia supportata reciprocamente. Una suite di crittografia è l'insieme di algoritmi che regola la crittografia che verrà utilizzata durante la connessione.

Una volta concordata una suite di crittografia, il server invia il certificato SSL e la chiave pubblica. Attraverso una serie di controlli, il client autentica il server, verificandone l'identità e il legittimo proprietario della chiave pubblica associata.

Dopo questa verifica, il client genera una chiave di sessione (o il segreto che può essere utilizzato per derivarne una) e utilizza la chiave pubblica del server per crittografarla prima di inviarla al server. Usando la sua chiave privata, il server decrittografa la chiave di sessione e inizia la connessione crittografata (questa è la forma più comune di scambio di chiavi, come eseguita con RSA - Lo scambio di chiavi Diffie-Hellman differisce leggermente).

Se ciò sembra ancora un po 'complicato, semplifichiamo ancora di più.

  • Per comunicare in modo sicuro, entrambe le parti devono condividere le chiavi di sessione simmetriche
  • SSL / TLS facilita lo scambio di tali chiavi di sessione con crittografia a chiave pubblica
  • Dopo aver verificato l'identità del server, una chiave di sessione o un segreto sono crittografati con la chiave pubblica
  • Il server utilizza la propria chiave privata per decrittografare la chiave di sessione e iniziare la comunicazione crittografata

Entriamo ora in ciò che tu, come proprietario di un sito web, devi prendere in considerazione quando acquisti o acquisisci un certificato SSL / TLS.

Cosa prendere in considerazione quando si acquista un certificato SSL / TLS?

Quando acquisti un certificato SSL / TLS, prendi una decisione su due domande principali:

  1. Che superficie hai bisogno di coprire?
  2. Quanta identità vuoi affermare?

Quando puoi rispondere a queste domande, il ritiro di un certificato diventa una questione di marchio e costo, conoscerai già il tipo di prodotto che ti serve.

Ora, prima di andare oltre, stabiliamo un fatto molto importante: indipendentemente da come rispondi a queste due domande, tutti i certificati SSL / TLS offrono la stessa forza di crittografia.

La forza della crittografia è determinata dalla combinazione delle suite di crittografia supportate e dalla potenza di calcolo del client e del server su entrambe le estremità della connessione. Il certificato SSL / TLS più costoso sul mercato e uno completamente gratuito faciliteranno lo stesso livello di crittografia standard del settore.

Ciò che varia con i certificati sono il livello di identità e la loro funzionalità.

Iniziamo con quali superfici devi coprire.

Funzionalità del certificato 1-SSL / TLS

I siti Web moderni si sono evoluti ben oltre quelli che erano agli albori di Internet quando ancora mettevi i contatori in fondo a una pagina per tracciare il traffico. Oggigiorno le organizzazioni hanno infrastrutture web complesse, sia internamente che esternamente. Stiamo parlando di più domini, sottodomini, server di posta, ecc.

Fortunatamente, i certificati SSL / TLS si sono evoluti insieme ai moderni siti Web per aiutarli a proteggerli meglio. Esiste un tipo di certificato per ogni caso d'uso, ma spetta a te sapere quale sarà il tuo caso d'uso specifico.

Diamo un'occhiata ai quattro diversi tipi di certificati SSL / TLS e alle loro funzionalità:

  • Single Domain - Come suggerisce il nome, questo certificato SSL / TLS è per un singolo dominio (entrambe le versioni WWW e non WWW).
  • Multi-Domain - Questo tipo di certificato SSL / TLS è per le organizzazioni con più siti Web, che possono proteggere contemporaneamente diversi domini 250.
  • Wildcard - Sicurezza per un singolo dominio, oltre a tutti i sottodomini di primo livello che lo accompagnano: tanti quanti ne hai (illimitati).
  • Wildcard multi-dominio - Un certificato SSL / TLS con funzionalità complete, in grado di crittografare fino a 250 diversi domini e tutti i sottodomini associati contemporaneamente.

Una breve parola sui certificati Wildcard. I caratteri jolly sono eccezionalmente versatili, possono crittografare un numero illimitato di sottodomini e sono persino in grado di proteggere nuovi sottodomini che vengono aggiunti dopo l'emissione. Quando si genera un carattere jolly, viene utilizzato un asterisco (a volte indicato come carattere jolly) a livello di sottodominio che si desidera crittografare. Ciò indica che qualsiasi sottodominio a livello di URL del dominio verificato è validamente associato alla coppia di chiavi pubblica / privata del certificato.

2- SSL / TLS Certificate Validation Level

Dopo aver individuato le superfici da coprire, è il momento di determinare la quantità di identità che vuoi affermare. Ci sono tre livelli di convalida, questi si riferiscono alla quantità di controllo dell'autorità di certificazione che emette il certificato SSL / TLS che metterà te e il tuo sito web.

Tre livelli di convalida: convalida del dominio, convalida dell'organizzazione e convalida estesa.

Viene chiamato il livello più elementare di convalida convalida dominio. Bastano pochi minuti per completare questa convalida e rilasciare il certificato, ma fornisce le informazioni di identità minime - l'autenticazione del solo server. I certificati DV SSL / TLS sono quelli più comunemente utilizzati, ma a causa della loro mancanza di identità, i siti Web che li utilizzano ricevono un trattamento browser neutrale.

Convalida dell'organizzazione fornisce più informazioni organizzative, che offrono ai visitatori del tuo sito un'idea migliore di chi hanno a che fare, purché sappiano dove cercare. I certificati OV SSL / TLS richiedono una moderata quantità di controllo, tuttavia, non hanno un'identità sufficiente per evitare un trattamento neutro da parte del browser. I certificati SSL OV possono anche proteggere indirizzi IP dedicati. Sono comunemente usati in ambienti Enterprise e su reti interne.

La maggior parte dell'identità che un certificato SSL / TLS può affermare arriva al Extended Validation livello. I certificati EV SSL / TLS richiedono un controllo approfondito da parte della CA, ma forniscono sufficienti informazioni identificative che i browser Web forniranno ai siti Web che distribuiscono loro un trattamento univoco, visualizzando il loro nome di organizzazione verificato nella barra degli indirizzi del browser.

Una cosa rapida da considerare per quanto riguarda i livelli di convalida e la funzionalità è che i certificati EV SSL / TLS non vengono mai venduti con funzionalità Wildcard. Ciò è dovuto alla natura aperta dei certificati Wildcard, che abbiamo discusso nell'ultima sezione.

Picking Certificate Authorities and Pricing

Ora che sai di cosa hai bisogno, parliamo di dove acquistarlo. Non solo chiunque può rilasciare certificati SSL / TLS validi e, per valido, intendiamo fiducia. Devi passare attraverso un'autorità di certificazione attendibile o CA. Le CA sono vincolate a severi requisiti di settore e sono soggette a verifiche e controlli periodici. La ragione di ciò deriva dal modo in cui funziona l'infrastruttura a chiave pubblica. PKI è il modello di trust che supporta SSL / TLS, ed è il motivo per cui il browser di un utente può verificare l'autenticità e fidarsi di un determinato certificato SSL / TLS.

Mentre scavando nella PKI e nelle radici non rientra nell'ambito di questo articolo, è importante sapere che solo le CA attendibili possono emettere certificati attendibili. Questo è il motivo per cui non puoi semplicemente emetterlo e firmarlo da solo. I browser non avrebbero modo di fidarsi di esso senza modificare manualmente le loro impostazioni.

Ma quale CA dovresti scegliere?

Dipende da cosa stai cercando.

Per molti semplici siti Web che non hanno bisogno di affermare molta identità, un certificato DV SSL / TLS gratuito Let's Encrypt (o altre CA gratuite) è una buona scelta. Non costa nulla ed è sufficiente per quello che ti serve.

Qualunque cosa sia a nord, o se non sei particolarmente esperto tecnicamente, dovresti andare con un'Autorità di certificazione commerciale come DigiCert, Sectigo, Entrust Datacard, ecc.

Ma ecco la cosa: non si ottiene il miglior acquisto dei prezzi direttamente dalle CA.

Ottenete la migliore combinazione di prezzi e selezione acquistando tramite un servizio SSL che offre certificati SSL / TLS da più CA. La ragione di questo è semplice, questi servizi SSL acquistare i certificati dalle CA in blocco a prezzi molto più bassi di quelli ottenuti dai clienti al dettaglio. Ciò consente loro di vendere i certificati a tariffe fortemente scontate, trasferendo i risparmi ai consumatori.

In alcuni casi, puoi risparmiare fino al 85% sul prezzo al dettaglio suggerito dal produttore entro il passare attraverso un servizio SSL invece di acquistare direttamente.

Tieni presente che i servizi SSL dedicati SPECIALIZZANO in SSL / TLS, offriranno un supporto clienti migliore, possono aiutarti a installarlo e sanno come ottimizzare le implementazioni per fornire al tuo sito Web la migliore sicurezza possibile.

Confrontalo con le CA gratuite (e anche alcune commerciali) in cui devi lavorare attraverso un sistema di ticket o setacciare i vecchi post del forum per il supporto crowdsourcing e il valore è chiaro.

Certo, per alcuni proprietari di siti Web esperti di tecnologia, il problema del supporto non è un problema. E non c'è sicuramente niente di sbagliato nell'andare nella via libera se sai come supportare tutto da solo.

Ma per gli altri proprietari di siti, stai pagando meno per il certificato stesso e altro per l'apparato di supporto che è stato costruito attorno ad esso. Inoltre, non hai accesso ai livelli di convalida superiori (OV / EV) o alle funzionalità avanzate (Multi-Domain, Wildcards) con SSL / TLS gratuiti. Devi prendere quelli da CA commerciali o servizi SSL.

Quindi, pagato o gratuito? Si tratta di quanto tecnicamente competenti sia tu o la tua organizzazione, oltre a se volete funzionalità e validazione oltre al dominio DV singolo.

FAQ per l'acquirente di SSL / TLS

Q1. Vale la convalida estesa?

Per molti siti Web, un certificato EV SSL / TLS è più un investimento che una spesa. Non c'è altro modo per affermare la massima identità e ottenere il trattamento preferenziale del browser del tuo sito web. Quando i visitatori arrivano a un sito Web e vedono il nome dell'organizzazione visualizzato nella barra degli indirizzi, ha un profondo effetto psicologico. Sebbene tale effetto sia difficile da quantificare sulla carta, i sondaggi riscontrano costantemente che le persone si sentono meglio a visitare i siti con EV che a visitare siti senza di essi.

Su internet conta ogni piccolo bit, quindi se sei un'organizzazione che vuole affermare l'identità sul web, i certificati EV SSL / TLS sono il miglior metodo disponibile per farlo.

Q2. Continui a scrivere SSL / TLS, che cosa significa?

SSL sta per Secure Sockets Layered era la versione originale del protocollo di crittografia che usiamo per proteggere le nostre connessioni fino ad oggi. Siamo arrivati ​​fino a SSL 3.0 prima che le vulnerabilità costringessero il settore al tavolo da disegno, dove Transport Layer Security (TLS) è stato progettato per essere il successore di SSL.

Oggi siamo su TLS 1.3, SSL 3.0 è stato quasi del tutto deprecato e anche 2020 TLS 1.0 e 1.1 saranno deprecati. Mentre internet di oggi si basa quasi esclusivamente sul protocollo TLS, è ancora colloquialmente conosciuto come SSL.

Q3. Quali sono le versioni del protocollo SSL / TLS?

Questo fa riferimento alla nostra ultima domanda, SSL e TLS sono i due protocolli che facilitano le connessioni HTTPS e, proprio come qualsiasi altra tecnologia, tali protocolli devono essere periodicamente aggiornati man mano che vengono scoperte nuove vulnerabilità e attacchi. Quando vedi SSL 3.0 o TLS 1.2, ciò si riferisce a una versione specifica dei protocolli SSL / TLS.

Al momento, la migliore pratica è supportare TLS 1.2 e TLS 1.3, poiché tutte le versioni precedenti sono risultate vulnerabili a qualche exploit o altro.

Q4. Cosa dovrei sapere su Cipher Suites?

Una suite di crittografia è una raccolta di algoritmi che verrà utilizzato durante il processo di crittografia SSL / TLS. In genere includono una sorta di algoritmo a chiave pubblica, un algoritmo di autenticazione dei messaggi e un algoritmo di crittografia simmetrica (blocco / flusso).

Prima di poter decidere su quale suite Cipher supportare, è necessario sapere di cosa sono capaci i server, il che potrebbe significare l'aggiornamento della libreria OpenSSL (o del software SSL alternativo) alla sua iterazione più moderna. Un consiglio, l'utilizzo della crittografia a curve ellittiche è preferibile a RSA.

Q5. Le garanzie sono importanti?

È bello avere una grande garanzia con qualsiasi prodotto, e il settore SSL / TLS fornisce alcune delle garanzie più generose disponibili. Pagano nel caso in cui la CA che ha emesso il certificato riscontri un problema che costa i soldi della tua organizzazione. Certo, questo non è tutto ciò che è comune, il che è una specie di approvazione per i certificati SSL / TLS in generale, ma anche qualcosa che non sapremmo sottolineare.


Patrick Nohe
Informazioni sull'autore: Patrick Nohe

Patrick Nohe ha iniziato la sua carriera come beat reporter e editorialista per il Miami Herald. Egli funge anche da Content Manager per SSL Store ™.

Informazioni su WHSR Guest

Questo articolo è stato scritto da un collaboratore ospite. Le viste dell'autore di seguito sono interamente sue e potrebbero non riflettere le opinioni di WHSR.