SSL è un protocollo di sicurezza che fornisce privacy, autenticazione e integrità alle comunicazioni via Internet. SSL è andato finalmente a evolversi in TLS (Transport Layer Security).
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
SSL, o Secure Sockets Layer, è un protocollo di sicurezza Internet basato sulla crittografia. Fu sviluppato da Netscape nel 1995 allo scopo di garantire la privacy, l'autenticazione e l'integrità dei dati nelle comunicazioni Internet. SSL è il predecessore della moderna crittografia TLS in uso a oggi.
Un sito web che implementa SSL/TLS ha "HTTPS"nel suo URL, anziché "HTTP."
Ci sono state diverse iterazioni di SSL, ciascuna più sicura di quella precedente. Nel 1999, SSL è stato aggiornato ed è diventato TLS.
Originariamente, i dati sul web venivano trasmessi in chiaro: chiunque poteva leggerli se intercettava il messaggio. Ad esempio, se un cliente visitava un sito web per fare acquisti e effettuava un ordine inserendo il numero di carta di credito sul sito web, il numero della carta viaggiava liberamente su Internet.
SSL è stato creato per correggere questo problema e proteggere la privacy degli utenti. Crittografando tutti i dati che vanno tra un utente e un server web, SSL garantisce che chiunque intercetti i dati possa visualizzare solo un ammasso confuso di caratteri. Il numero della carta di credito del consumatore è ora al sicuro, visibile solo al sito web in cui è stato inserito.
SSL blocca inoltre alcuni tipi di attacchi informatici: autentica i server web, cosa fondamentale in quanto gli aggressori spesso cercano di creare siti web fasulli per ingannare gli utenti e rubare i dati. In più, impedisce agli aggressori di manomettere i dati in transito, come un sigillo a prova di manomissione su una scatola di medicinali.
SSL è il predecessore diretto di un altro protocollo di nome TLS (Transport Layer Security). Nel 1999, la Internet Engineering Task Force (IETF) ha proposto un'aggiornamento a SSL. Dato che questo aggiornamento lo stava sviluppando l'IETF e Netscape non era più coinvolto, il nome fu cambiato in TLS. La differenza tra la versione finale di SSL (3.0) e la prima versione di TLS non è enorme, infatti il cambio di nome è stato fatto per segnalare il cambio di titolarità.
Dato che sono così strettamente correlati, spesso i due termini sono usati in modo intercambiabile. Alcune persone dicono ancora SSL per indicare TLS, altri usano il termine "crittografia SSL/TLS" perché SSL è ancora un nome molto conosciuto.
SSL non viene aggiornato da SSL 3.0 nel 1996 ed è ora considerato deprecato. Esistono diverse vulnerabilità note nel protocollo SSL e gli esperti in sicurezza consigliano di cessarne l'uso. A dire il vero, la maggior parte dei browser web moderni non supporta più SSL.
TLS è il protocollo di crittografia aggiornato che è ancora implementato online, anche se sono in molti a chiamarlo ancora "crittografia SSL". Ciò può causare confusione per i consumatori che cercano delle soluzioni di sicurezza. La verità è che qualsiasi provider che offre "SSL" oggigiorno quasi sicuramente offre una protezione TLS, che è lo standard del settore da oltre vent'anni. Tuttavia, dato sono ancora in molti a cercare ancora la "protezione SSL", il termine ancora figura molto nelle pagine dei prodotti.
SSL può essere implementato solo da siti web che dispongono di un certificato SSL (tecnicamente un certificato "TLS "). Un certificato SSL è come una carta d'identità o un badge che dimostra che qualcuno è chi dice di essere. I certificati SSL vengono memorizzati e visualizzati sul Web dal server di un sito web o di un'applicazione.
Una delle informazioni più importanti in un certificato SSL è la chiavepubblica del sito Web. La chiave pubblica rende possibile la crittografia e l'autenticazione. Il dispositivo dell'utente mostra la chiave pubblica e la utilizza per stabilire chiavi di crittografia sicure con il server Web. Allo stesso tempo, il server Web dispone anche di una chiave privata che viene mantenuta segreta; la chiave privata decifra i dati crittografati con la chiave pubblica.
Le autorità di certificazione (CA) sono responsabili dell'emissione dei certificati SSL.
Esistono diversi tipi di certificati SSL. Un certificato può essere applicato a uno o più siti web, a seconda della tipologia:
I certificati SSL sono inoltre dotati di diversi livelli di convalida. Un livello di convalida è come un controllo in background, e il livello cambia a seconda della completezza del controllo.
Cloudflare offre a ogni azienda certificati SSL gratuiti. Un sito web protetto da Cloudflare può attivare SSL con pochi clic. Potrebbe essere necessario impostare un certificato SSL anche sul server di origine : questo articolo contiene ulteriori istruzioni.
Per una spiegazione più approfondita di come funziona la crittografia SSL/TLS, vedere Che cos'è TLS?