Il numero di individui e aziende che utilizzano Internet per trasmettere dati sensibili è in costante aumento come l’accesso diventa più veloce e più conveniente. Il problema è che Internet non è stato progettato con la sicurezza in mente. I criminali informatici non esitano a sfruttare questo fatto per il proprio profitto, a scapito di coloro che utilizzano internet per la comunicazione personale e le transazioni commerciali.
Per facilitare il trasferimento elettronico sicuro di informazioni per una vasta gamma di attività di rete, è stata implementata una serie di ruoli, politiche, hardware, software e procedure per gestire la crittografia a chiave pubblica, e i certificati digitali svolgono un ruolo cruciale nell’it, così come in ogni moderna strategia di sicurezza informatica.
Che cos’è un certificato digitale?
I certificati digitali possono essere descritti come password elettroniche emesse da una terza parte fidata, un’autorità di certificazione (CA). Essi possono essere collegati a messaggi elettronici per verificare che il mittente di un messaggio è davvero chi lui o lei sostiene di essere. Senza i certificati digitali, non sarebbe possibile per due parti condividere le proprie chiavi pubbliche in un modo che possa essere autenticato.
Certificati digitali contro firme digitali
Considera il seguente scenario: Alice vuole inviare un messaggio firmato digitalmente a Bob. Innanzitutto, Alice crea una coppia di chiavi, una chiave pubblica e una chiave privata. Mantiene la sua chiave privata ma condivide la sua chiave pubblica. Alice crea un messaggio e usa la sua chiave privata per firmare il messaggio e inviarlo a Bob. Quando Bob riceve il messaggio firmato digitalmente da Alice, recupera la sua chiave pubblica e la usa per verificare la firma digitale di Alice. Se Bob verifica con successo la firma digitale di Alice con la sua chiave pubblica, ha ragione di credere che il messaggio sia stato realmente creato e inviato da Alice e non sia stato alterato durante il transito.
Tuttavia, c’è un problema importante con lo scenario sopra descritto. Un criminale informatico può intercettare il messaggio firmato digitalmente di Alice e sostituirlo con un messaggio completamente diverso, firmato con una chiave privata completamente diversa, mentre condivide la chiave pubblica corrispondente. Quando Bob recupera quella che crede essere la chiave pubblica di Alice e la usa per verificare il messaggio, tutto sembra andare perfettamente bene anche se il messaggio originale è stato gettato via.
I certificati digitali risolvono questa mancanza di autenticazione non solo verificando l’identità del proprietario, ma anche assicurando che il proprietario possieda effettivamente la chiave pubblica. Con i certificati digitali, Alice potrebbe semplicemente allegare un certificato digitale al suo messaggio e inviarli entrambi a Bob, che decodificherebbe il messaggio utilizzando la chiave pubblica della CA.
Tipi di certificati digitali
Esistono tre tipi principali di certificati digitali utilizzati su Internet per autenticare server Web e browser Web:
- Certificati SSL DV convalidati dal dominio: Popolare tra le piccole imprese e proprietari di siti web, un certificato SSL DV dimostra che il suo titolare ha il diritto di utilizzare il nome di dominio associato, ma non garantisce chi sia il titolare del certificato.
- Certificati OV SSL (Organization Validated): come suggerisce il nome, un certificato OV SSL fornisce garanzie sul titolare del certificato, dando alle aziende l’opportunità di creare fiducia con i propri clienti.
- Certificati SSL EV (Extended Validation): Conforme allo standard X. 509, un certificato SSL EV dimostra l’entità legale del proprietario. È firmato da una chiave dell’autorità di certificazione che può emettere certificati EV. I certificati SSL EV sono utilizzati da siti Web di e-commerce, governi, aziende e organizzazioni in settori altamente regolamentati.
Tutti i tipi di certificati digitali SSL possono essere emessi solo da CA autorizzate, come Symantec, Comodo, GoDaddy, GlobalSign, DigiCert, StartCom, Entrust, Verizon, Trustwave, Secom, Unizeto, Buypass e altri.
Oltre ai certificati digitali SSL, esistono anche certificati di firma del codice, che vengono utilizzati per firmare software o codice programmato scaricato su Internet, e certificati client, che vengono utilizzati per identificare una persona a un’altra, una persona a un dispositivo o gateway o un dispositivo a un altro dispositivo all’interno di un’azienda.
Vantaggi dell’utilizzo di un certificato digitale
L’autenticazione basata su certificato offre molti vantaggi che lo rendono una parte essenziale di qualsiasi moderna strategia di sicurezza informatica. I vantaggi includono:
- Integrità: Con i certificati digitali, non è possibile manomettere intenzionalmente o involontariamente il messaggio durante il percorso perché qualsiasi tentativo di questo tipo verrebbe immediatamente scoperto.
- Riservatezza: i certificati digitali risolvono quello che probabilmente è diventato il più grande problema di Internet—il fatto che non è stato progettato pensando alla privacy—consentendo a due parti di comunicare privatamente attraverso una rete pubblica.
- Identificazione: I certificati digitali identificano chiaramente le parti comunicanti e dimostrano di essere realmente chi si presentano.
- Facile da gestire: a differenza di altri metodi di autenticazione, i certificati digitali sono facili da gestire e possono essere comodamente esportati da un luogo centrale ad altri dispositivi per ospitare ambienti multiutente e multi-dispositivo.
- Facile da implementare: il fatto che i certificati digitali non richiedono alcun hardware aggiuntivo li rende molto facili e convenienti da implementare.
Conclusione
I certificati digitali aiutano a superare i limiti di sicurezza delle firme digitali identificando il proprietario della chiave pubblica e rendendola disponibile a tutte le parti che hanno bisogno di convalidarla. Oggi esistono diversi tipi di certificati digitali e tutti svolgono un ruolo importante in qualsiasi strategia completa di sicurezza informatica.
Scritto da: Payam Pourkhomami, Presidente & CEO, OSIbeyond