SSL, noto anche come TLS, utilizza la crittografia per proteggere i dati degli utenti, autenticare l'identità dei siti Web e impedire agli autori di attacchi di manomettere le comunicazioni Internet.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Registrati per ricevere articoli didattici sulla sicurezza da Cloudflare.
Copia link dell'articolo
SSL sta per Secure Sockets Layer e si riferisce a un protocollo per la crittografia, la protezione e l'autenticazione delle comunicazioni su Internet. Sebbene SSL sia stato sostituito da un protocollo aggiornato chiamato TLS (Transport Layer Security) qualche tempo fa, "SSL" è ancora un termine comunemente usato per questa tecnologia.
Il caso d'uso principale di SSL/TLS è la protezione delle comunicazioni tra un client e un server, ma può anche proteggere e-mail, VOIP e altre comunicazioni su reti non protette.
Questi sono i principi essenziali da conoscere per comprendere il funzionamento di SSL/TLS:
Con TLS, vengono crittografati sia i dati HTTP che gli utenti inviano a un sito Web (facendo clic, compilando moduli ecc.) sia i dati HTTP che i siti Web inviano agli utenti. I dati crittografati devono essere decrittografati dal destinatario utilizzando una chiave.
Le sessioni di comunicazione TLS iniziano con un handshake TLS. Un handshake TLS utilizza quella che viene definita crittografia asimmetrica, il che significa che due chiavi diverse vengono utilizzate alle due estremità della conversazione. Questo è possibile grazie a una tecnica chiamata crittografia a chiave pubblica.
Nella crittografia a chiave pubblica vengono utilizzate due chiavi: una chiave pubblica, che il server rende disponibile pubblicamente, e una chiave privata, che viene mantenuta segreta e utilizzata solo sul lato server. I dati crittografati con la chiave pubblica possono essere decrittografati solo con la chiave privata.
Durante l'handshake TLS, il client e il server utilizzano le chiavi pubbliche e private per scambiare dati generati casualmente, e questi dati casuali vengono utilizzati per creare nuove chiavi per la crittografia, chiamate chiavi di sessione.
A differenza della crittografia asimmetrica, nella crittografia simmetrica le due parti in una conversazione usano la stessa chiave. Dopo l'handshake TLS, entrambe le parti utilizzano la stessa chiave di sessione per la crittografia. Una volta che la chiave di sessione è in uso, le chiavi pubbliche e private non vengono più utilizzate. Le chiavi di sessione sono chiavi temporanee che non vengono utilizzate nuovamente una volta terminata la sessione. Verrà creato un nuovo set casuale di chiavi di sessione per la sessione successiva.
Le comunicazioni TLS dal server includono un codice di autenticazione dei messaggi, o MAC (Message Authentication Code), che è una firma digitale che conferma che la comunicazione ha avuto origine dal sito Web effettivo. Questo autentica il server, prevenendo gli attacchi di interposizione e lo spoofing del dominio. Garantisce inoltre che i dati non siano stati alterati durante il transito.
Un certificato SSL è un file installato sul server di origine di un sito Web. È semplicemente un file di dati contenente la chiave pubblica e l'identità del proprietario del sito Web, insieme ad altre informazioni. Senza un certificato SSL, il traffico di un sito Web non può essere crittografato con TLS.
Tecnicamente, qualsiasi proprietario di un sito Web può creare il proprio certificato SSL e tali certificati sono chiamati certificati autofirmati. Tuttavia, i browser non considerano attendibili i certificati autofirmati quanto il certificato SSL emesso da un'autorità di certificazione.
I proprietari dei siti Web devono ottenere un certificato SSL da un'autorità di certificazione e quindi installarlo sul proprio server Web (spesso un host Web può gestire questo processo). Un'autorità di certificazione è una parte esterna che può confermare che il proprietario del sito Web sia chi dice di essere. Conserva una copia dei certificati che emette.
Molte autorità di certificazione addebitano un costo per i certificati SSL. Per contribuire a rendere Internet più sicuro, Cloudflare offre certificati SSL gratuiti. Cloudflare è stata la prima azienda di sicurezza e prestazioni di Internet a farlo. Cloudflare ha anche lavorato per ottimizzare le prestazioni SSL/TLS in modo che il passaggio dei siti Web da HTTP a HTTPS non abbia alcun impatto sulle prestazioni. Per ulteriori informazioni sulle opzioni SSL con Cloudflare, consulta la nostra documentazione per gli sviluppatori.
La S in "HTTPS" sta per "sicuro". HTTPS è solo HTTP con SSL/TLS. Un sito Web con un indirizzo HTTPS ha un certificato SSL legittimo emesso da un'autorità di certificazione, e il traffico da e verso tale sito Web viene autenticato e crittografato con il protocollo SSL/TLS.
Per esortare Internet nel suo insieme a passare al più sicuro HTTPS, molti browser Web hanno iniziato a contrassegnare i siti Web HTTP come "non sicuri" o "non protetti". Pertanto, HTTPS non solo è essenziale per mantenere gli utenti e i loro dati al sicuro, ma è anche diventato essenziale per creare fiducia presso gli utenti.