I certificati di protezione dei siti web

  1. Alessio Arrigoni
  2. Blog
  3. I certificati di protezione dei siti web

I siti web che gestiscono informazioni personali e dati sensibili utilizzano il protocollo HTTPS che prevede a sua volta l'impiego di un meccanismo crittografico, protocolli SSL/TLS, e di un certificato digitale.

Con il "normale" protocollo HTTP, le informazioni scambiate fra client e server web viaggiano in chiaro; possono quindi essere monitorate ed intercettate da parte di un malintenzionato che si ponesse lungo il tragitto, attacco "man-in-the-middle" ossia dell'"uomo nel mezzo".

Quando ci si collega, ad un sito web facente uso di HTTPS, del protocollo TLS 1.2 e di un certificato valido e sicuro, si ha la ragionevole certezza che le informazioni scambiate con il server non possano cadere nelle mani altrui.

I protocolli crittografici che vengono utilizzati con HTTPS sono oggetto di continui studi per metterne a nudo eventuali lacune di sicurezza. Il cosiddetto bug Heartbleed, riferito ad una grave vulnerabilità presente in alcune versioni della libreria OpenSSL, comunemente utilizzata sui sistemi Linux e Unix-like e l’attacco POODLE hanno contribuito gli amministratori di sistema ad aggiornare le loro macchine e gli utenti ad acquisire una maggior consapevolezza sul problema.

POODLE, in particolare, ha sostanzialmente messo al tappeto SSL 3.0, versione del protocollo crittografico che fino a non molto tempo fa era utilizzata da migliaia di server web per proteggere le connessioni HTTPS.

Certificato di protezione del sito web: che cos'è

Abbiamo detto che quando si utilizzano connessioni non sicure, facendo ricorso al solo http, senza l'impiego di un protocollo di crittografia asimmetrica, è semplice per un aggressore, carpire informazioni personali esaminando i dati in transito, attività di "sniffing".

I vari browser web segnalano quando si sta utilizzando una connessione HTTPS evidenziando la cosa direttamente nella barra degli indirizzi, con diversi colori e differenti soluzioni grafiche.

In tutti i casi, comunque, in presenza di una connessione HTTPS, i browser visualizzano, nella barra degli indirizzi, un'icona raffigurante un lucchetto.

Cliccandovi sopra, si può accedere ai dettagli tecnici sulla connessione con il server.

Se i protocolli SSL/TLS vengono utilizzati per cifrare i dati e renderne impossibile la lettura da parte di persone non autorizzate, il certificato digitale dei siti web consente di attestare l'identità del sito stesso. Il certificato digitale permette insomma al browser di verificare che il sito web visitato sia effettivamente quello che dichiara di essere.

Quando ci si connette ad un sito web via HTTPS, quindi, il browser controlla che il certificato digitale sia valido, non scaduto ed emesso da un'autorità di certificazione riconosciuta.

Errori relativi al certificato di protezione del sito web esposti dal browser possono essere sintomi di diversi problemi. Il consiglio è quello di fare clic sul pulsante che consente di accedere ai dettagli tecnici dell'errore.

Certificati digitali scaduti

I certificati digitali che attestano l'identità dei siti web vengono emessi da autorità di certificazione (CA) riconosciute a livello internazionale ed inserite nei database contenuti nei vari browser. I certificati debbono essere rinnovati dagli amministratori dei sistemi informatici ed in particolare da chi gestisce il server web HTTPS.

Il messaggio che informa circa l'impossibilità di accedere al sito web HTTPS a causa del certificato scaduto può mettere in evidenza una "svista" da parte dell'amministrazione del sito oppure suggerire un problema relativo all'orologio del personal computer.

Se l'orologio del personal computer non è aggiornato, sarà impossibile accedere ai siti HTTPS o scaricare la posta elettronica da server che utilizzano la cifratura dei dati. Un orologio di sistema che non presenta la data corretta può quindi essere causa di numerosi problemi.

Certificati digitali non attendibili o revocati

Gli errori visualizzati dal browser che fanno riferimento a certificati non attendibili o revocati suggeriscono che il sito web richiesto non è attendibile.

I siti web attraverso i quali vengono poste in essere attività truffaldine sfruttano spesso certificati digitali non validi, non emessi da autorità di certificazione attendibili.

Nel caso in cui, per usi personali, si fosse allestito un sito web che utilizza un certificato digitale emesso senza passare per un'autorità di certificazione, il browser visualizzerà comunque il messaggio d'allerta. In questo caso non è nulla di grave e il problema si risolve installando il certificato sul pc al fine di rendere attendibile l’autorità emittente del certificato

Certificati digitali sconosciuti

In alcuni frangenti, la connessione al sito web d'interesse potrebbe non risultare possibile in quanto il certificato digitale viene indicato come sconosciuto. Si tratta di un caso più raro che potrebbe presentarsi nel momento in cui l'utente non avesse installato l'ultima versione del browser o non avesse correttamente caricato gli aggiornamenti di sistema di Windows.

Microsoft, infatti, provvede periodicamente ad aggiornare il database delle autorità di certificazione, sfruttato anche da parte di altri browser, non solo da Internet Explorer o Edge, rilasciando apposite patch attraverso il servizio Windows Update.

Connessione sicura non riuscita o Errore connessione SSL

Gli errori "Connessione sicura non riuscita" ed "Errore connessione SSL", esposti da Firefox e Chrome, non riguardano i certificati digitali ma il protocollo utilizzato per crittografare i dati.

Se il sito HTTPS di destinazione non permette l'utilizzo di TLS 1.2 ma consente al massimo l'impiego di SSL 3.0, per prevenire rischi derivanti dall'eventualità che un malintenzionato ponga in essere un attacco POODLE, browser come Firefox e Chrome provvedono a negare precauzionalmente la connessione.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.

Ti potrebbe anche interessare

Leggi le ultima novità dal blog.

Navigazione anonima con Tor Browser

Leggi tutto...
La privacy è oggi il problema principale del web. Le aziende ci spiano, raccolgono dati, su base anonima, riguardo quello che cerchiamo, quello che leggiamo e le preferenze che diamo usando i ...

Decalogo della sicurezza su internet

Leggi tutto...
La sicurezza informatica e la protezione dei dati sono temi divenuto molto di attualità in questi ultimi tempi. Il problema è che proprio chi avrebbe più bisogno di essere infor ...

Navigare sicuri in internet

Leggi tutto...
Quando colleghiamo un pc a internet è fuori di dubbio che questo è esposto a virus informatici che potrebbero infettarlo in qualsiasi momento. D'altro canto non possiamo nemmeno ri ...

Linee guida per preservare la propria privacy

Leggi tutto...
Cominciano col dire un punto fondamentale, internet è pubblico, qualsiasi cosa pubblichiate la vedrà chiunque. Ragion per cui evitiamo di pubblicare informazioni che non desiderate sia ...

La pubblicità on-line come usa i nostri dati e come ci segue ovunque

Leggi tutto...
Le pubblicità su Internet sono diventate così invasive che ormai tutti abbiamo la consapevolezza di essere seguiti ogni qualvolta ci connettiamo ad internet. Basta ad esempio aprire ...

Proteggere la propria privacy online

Leggi tutto...
Al giorno d’oggi, grazie all’enorme diffusione di internet, siamo tutti in grado di partecipare, interagire e condividere informazioni nei modi più semplici e disparati possibili. ...

Articoli recenti

Leggi le ultima novità dal blog.

Intelligenza artificiale: i pro e i contro

Leggi tutto...
Tema molto dibattuto in questi ultimi tempi: l’intelligenza artificiale. Argomento di grande rilevanza nella società odierna, che suscita sia entusiasmo che preoccupazione. Da un lato, ...

Cosa sono i dati basati su SSD ?

Leggi tutto...
Le SSD (acronimo di solid state drive, o unità di memoria a stato solido) sono delle unità di memoria particolarmente popolari nel mondo dei giocatori di videogiochi. Essendo i videogi ...

Perché utilizzare una VPN per l'accesso al cloud ?

Leggi tutto...
Il 2020 ha visto un enorme aumento del crimine informatico. Sebbene le persone non andassero in ufficio a causa delle preoccupazioni relative al COVID-19, molti si sono trovati inclini a maggiori ri ...

Errori comuni nell’archiviazione dei dati: quali sono e come evitarli ?

Leggi tutto...
Errori comuni nell’archiviazione dei dati: quali sono e come evitarli? Siamo nell’era digitale in cui di dati e le informazioni sul web sono una componente chiave di qualsiasi tipo di ...

Consigli sulla sicurezza: come il vostro computer potrebbe compromettersi nel momento peggiore

Leggi tutto...
La sicurezza del proprio dispositivo è oggi qualcosa a cui si deve prestare una particolare attenzione. La rete è invasa da sempre più pericoli, in grado di compromettere i vost ...

Scegliere una password sicura per qualsiasi account

Leggi tutto...
Al giorno d'oggi è estremamente facile subire un attacco ai propri account, specie se riguardano servizi bancari o postali o permettono di fare acquisti online. Per poter evitare che i ...