Cosa significa SSL? | Definizione di SSL

SSL è un protocollo di sicurezza che fornisce privacy, autenticazione e integrità alle comunicazioni via Internet. SSL è andato finalmente a evolversi in TLS (Transport Layer Security).

Share facebook icon linkedin icon twitter icon email icon

SSL

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire SSL
  • Comprendere la differenza tra SSL e TLS
  • Compendere i certificati SSL

Che cosa è l’SSL?

SSL, o Secure Sockets Layer, è un protocollo di sicurezza Internet basato sulla crittografia. Fu sviluppato da Netscape nel 1995 allo scopo di garantire la privacy, l'autenticazione e l'integrità dei dati nelle comunicazioni Internet. SSL è il predecessore della moderna crittografia TLS in uso a oggi.

Un sito web che implementa SSL/TLS ha "HTTPS"nel suo URL, anziché "HTTP."

Differenze tra HTTP e HTTPS

Come funziona SSL/TLS?

  • Per riuscire a fornire un elevato grado di privacy, SSL crittografa i dati che vengono trasmessi attraverso il Web. Ciò significa che chiunque provi a intercettare tali dati vedrebbe solo un miscuglio ingarbugliato di caratteri quasi impossibile da decifrare.
  • SSL avvia un processo di autenticazione chiamato handshake tra due dispositivi in comunicazione, per garantire che entrambi i dispositivi siano davvero chi dichiarano di essere.
  • Inoltre, SSL firma digitalmente i dati per garantire l'integrità dei dati, verificando che non siano stati manomessi prima che raggiungano il destinatario prefissato.

Ci sono state diverse iterazioni di SSL, ciascuna più sicura di quella precedente. Nel 1999, SSL è stato aggiornato ed è diventato TLS.

Perché SSL/TLS è importante?

Originariamente, i dati sul web venivano trasmessi in chiaro: chiunque poteva leggerli se intercettava il messaggio. Ad esempio, se un cliente visitava un sito web per fare acquisti e effettuava un ordine inserendo il numero di carta di credito sul sito web, il numero della carta viaggiava liberamente su Internet.

SSL è stato creato per correggere questo problema e proteggere la privacy degli utenti. Crittografando tutti i dati che vanno tra un utente e un server web, SSL garantisce che chiunque intercetti i dati possa visualizzare solo un ammasso confuso di caratteri. Il numero della carta di credito del consumatore è ora al sicuro, visibile solo al sito web in cui è stato inserito.

SSL blocca inoltre alcuni tipi di attacchi informatici: autentica i server web, cosa fondamentale in quanto gli aggressori spesso cercano di creare siti web fasulli per ingannare gli utenti e rubare i dati. In più, impedisce agli aggressori di manomettere i dati in transito, come un sigillo a prova di manomissione su una scatola di medicinali.

SSL e TLS sono la stessa cosa?

SSL è il predecessore diretto di un altro protocollo di nome TLS (Transport Layer Security). Nel 1999, la Internet Engineering Task Force (IETF) ha proposto un'aggiornamento a SSL. Dato che questo aggiornamento lo stava sviluppando l'IETF e Netscape non era più coinvolto, il nome fu cambiato in TLS. La differenza tra la versione finale di SSL (3.0) e la prima versione di TLS non è enorme, infatti il cambio di nome è stato fatto per segnalare il cambio di titolarità.

Dato che sono così strettamente correlati, spesso i due termini sono usati in modo intercambiabile. Alcune persone dicono ancora SSL per indicare TLS, altri usano il termine "crittografia SSL/TLS" perché SSL è ancora un nome molto conosciuto.

SSL è ancora aggiornato?

SSL non viene aggiornato da SSL 3.0 nel 1996 ed è ora considerato deprecato. Esistono diverse vulnerabilità note nel protocollo SSL e gli esperti in sicurezza consigliano di cessarne l'uso. A dire il vero, la maggior parte dei browser web moderni non supporta più SSL.

TLS è il protocollo di crittografia aggiornato che è ancora implementato online, anche se sono in molti a chiamarlo ancora "crittografia SSL". Ciò può causare confusione per i consumatori che cercano delle soluzioni di sicurezza. La verità è che qualsiasi provider che offre "SSL" oggigiorno quasi sicuramente offre una protezione TLS, che è lo standard del settore da oltre vent'anni. Tuttavia, dato sono ancora in molti a cercare ancora la "protezione SSL", il termine ancora figura molto nelle pagine dei prodotti.

Cos'è un certificato SSL?

SSL può essere implementato solo da siti web che dispongono di un certificato SSL (tecnicamente un certificato "TLS "). Un certificato SSL è come una carta d'identità o un badge che dimostra che qualcuno è chi dice di essere. I certificati SSL vengono memorizzati e visualizzati sul Web dal server di un sito web o di un'applicazione.

Una delle informazioni più importanti in un certificato SSL è la chiavepubblica del sito web. La chiave pubblica rende possibile la crittografia. Il dispositivo dell'utente visualizza la chiave pubblica e la utilizza per stabilire chiavi di crittografia sicure con il server web. Allo steso tempo, il server web dispone anche di una chiave privata che viene mantenuta segreta; la chiave privata decifra i dati crittografati con la chiave pubblica.

Le autorità di certificazione (CA) sono responsabili dell'emissione dei certificati SSL.

Quali sono i tipi di certificati SSL?

Esistono diversi tipi di certificati SSL. Un certificato può essere applicato a uno o più siti web, a seconda della tipologia:

  • Dominio singolo: un certificato SSL a dominio singolo si applica a un solo dominio (un "dominio "è il nome di un sito web, ad esempio www.cloudflare.com).
  • Caratteri Jolly: come un certificato a dominio singolo, un certificato SSL con caratteri jolly si applica a un solo dominio. Tuttavia, include anche i sottodomini di quel dominio. Ad esempio, un certificato con caratteri jolly potrebbe includere www.cloudflare.com, blog.cloudflare.com e developers.cloudflare.com, mentre un certificato a dominio singolo includerebbe solo il primo.
  • Multidominio: come indica il nome, i certificati SSL a dominio multiplo possono essere applicati a più domini non correlati.

I certificati SSL sono inoltre dotati di diversi livelli di convalida. Un livello di convalida è come un controllo in background, e il livello cambia a seconda della completezza del controllo.

  • Convalida del dominio: è il livello meno rigoroso di convalida e il più economico. Tutto ciò che un'azienda deve fare è dimostrare di controllare il dominio.
  • Convalida dell'organizzazione: si tratta di un processo più pratico, in cui la CA contatta direttamente la persona o l'azienda che richiede il certificato. Questi certificati sono più affidabili per gli utenti.
  • Validazione estesa: richiede un controllo completo dei background di un'organizzazione prima che il certificato SSL possa essere emesso.

In che modo un'azienda può ottenere un certificato SSL?

Cloudflare offre a ogni azienda certificati SSL gratuiti. Un sito web protetto da Cloudflare può attivare SSL con pochi clic. Potrebbe essere necessario impostare un certificato SSL anche sul server di origine : questo articolo contiene ulteriori istruzioni.

Ulteriori informazioni su SSL/TLS

Per una spiegazione più approfondita di come funziona la crittografia SSL/TLS, vedere Cos'è TLS? Si consiglia di usare il Centro di Diagnostica Cloudflare per verificare che un sito Web stia implementando correttamente la crittografia SSL/TLS.