Frequently Asked Questions - Aiuto

FAQs - Aiuto

Un certificato SSL (Secure Sockets Layer) è un documento rilasciato da una CA, un'autorità autorizzata che, attraverso l'attivazione del simbolo del lucchetto nel browser, garantisce l'autenticità e la veridicità del sito con cui si sta comunicando e assicura che le comunicazioni tra l'utente ed il sito saranno protette.
Tutti i dati inviati ad un sito coperto da certificato SSL sono criptati. Il consumatore così sa che può inviare in sicurezza i propri dati senza che nessuno, a parte il sito destinatario, possa decifrarli.

Una CA è un soggetto di terza parte, pubblico o privato, autorizzato ad emettere un certificato digitale e che si assume la responsabilità di garantire l'autenticità del certificato digitale emesso.

Attualmente ci sono tre tipi di certificati SSL venduti dalla maggior parte delle autorità di certificazione : i Certificati DV (convalidati per dominio), gli OV (convalidati per l'organizzazione) e gli EV (Extended Validation).

Il certificato DV viene rilasciato molto rapidamente perché richiede solo un richiedente per dimostrare il diritto di utilizzare il nome del dominio; nessun'altra informazione commerciale viene convalidata. Ad esempio, se qualcuno acquistasse il dominio www.myfavoritestore.com, potrebbe ottenere un certificato SSL DV semplicemente facendo la richiesta presso l'autorità di certificazione e rispondendo a una mail che viene inviata da quest'ultima. Non appena la CA riceve la risposta all'e-mail, rilascerà il certificato. Così da questo momento il richiedente potrà creare un sito MyFavoriteStore.com e iniziare ad accettare le carte di credito in modo sicuro e i consumatori vedranno il lucchetto nel browser, che indica che tutto il traffico del server è stato crittografato. Il problema evidente in questo caso è che nessuna convalida è stata fatta per dimostrare che MyFavoriteStore.com era una società legittima, invece di una frode.

Per questo tipo di certificato, la CA convalida alcune informazioni commerciali oltre al nome di dominio, al fine di garantire che il richiedente sia chi dice di essere. Ad esempio, per acquisire un certificato per il sito www.amazon.com, Amazon invierà alla CA delle informazioni sul server web, oltre a fornire la prova che la società esiste realmente. La persona che ha richiesto il certificato dovrebbe anche essere certificata come dipendente della società. La CA, dopo aver convalidato questi dati, rilascia il certificato per il sito. Da questo momento il sito ha la possibilità di utilizzare questo certificato per abilitare transazioni HTTPS sicure utilizzando l'SSL.

Un certificato EV garantisce il massimo livello di sicurezza grazie al fatto che, per rilasciarlo, la CA effettua controlli molto più accurati sul richiedente. L'analisi comprende l'esame dei documenti aziendali, la verifica dell'identità individuale del candidato e la consultazione di informazioni su un database di terzi.
Il certificato EV mostra il nome dell'azienda e attiva la barra verde (Green Address Bar) nel browser, permettendo agli utenti di riconoscerne la presenza e di poter contare sull'affidabilità del sito.

I certificati OV ed EV comportano un'analisi del richiedente da parte della CA, quindi vengono generati più lentamente dei certificati DV, anche perchè la procedura di convalida è differente per ognuno dei tre certificati. Il prezzo dei certificati DV è inferiore, tuttavia I certificati OV ed EV offrono maggior garanzia di affidabilità e fiducia all'utente, che quindi, soprattutto per i siti che possiedono un certificato EV, si sentirà sicuro a comunicare e a trasmettere i propri dati personali sul sito senza temere di andare incontro a furti o phishing.

  • Aumentare la fiducia degli utenti nel proprio sito e aumentare il fatturato dell'azienda su Internet;
  • Ostacolare la realizzazione di attacchi di phishing e di altri furti d'identità online utilizzando certificati;
  • Aiutare le aziende che potrebbero essere bersaglio di attacchi di phishing o di furto d'identità online, fornendo loro uno strumento per individuare con maggiore precisione chi siano davvero gli utenti.

Nonostante i rischi, da un recente sondaggio commissionato da Symantec è emerso che più di 1/3 dei siti di e-commerce sta usando Certificati DV (ricerca condotta da buySAFE , Inc. per conto di Symantec in Hidden-Dangers-Lurking-in-E-Commerce).
I Certificati DV sono molto utilizzati in quanto sono facili da emettere, veloci e molto economici perché non richiedono lunghe procedure di convalida manuale.

Perché il certificato DV non garantisce sulla società, che potrebbe essere anche rappresentata da un falso sito. Quindi da una parte non trasmetterebbe fiducia agli utenti, che di conseguenza non compieranno acquisti, dall'altra, coloro che acquisteranno sul sito non sono garantiti sull'autenticità di esso.

Anche se tutte le CA necessitano di condurre un "controllo di frode" base, nelle richieste di Certificati DV i truffatori hanno affinato i loro metodi per eludere i controlli. Ad esempio, il nome di "PayPal " è un obiettivo comune per la frode, pertanto le CA effettuano dei controlli automatizzati che cercano nomi simili nelle richieste, come "pay-pal", "securepaypal", "p@ypal", etc. Tuttavia, recentemente è stato rilasciato un certificato a paypol-france.com, che è stato poi utilizzato per iniziare un attacco di phishing e rubare le credenziali agli utenti. Non è chiaro quanti utenti siano stati indotti a rivelare i dati personali. In ogni caso sarebbe molto più difficile per un truffatore ottenere un Certificato EV o OV a tale nome.

Confrontate i due certificati proposti di seguito. Sulla sinistra avete il certificato del sito "bookairfare.com" e sulla destra il certificato di "ebookers.com". Un consumatore che sia alla ricerca dei voli più economici potrebbe essere reindirizzato a questi due siti da un motore di ricerca, ma come potrebbe sapere quale delle due società è stata convalidata?
Esaminando il Certificato di sinistra, non ci sono informazioni commerciali a proposito, il che indica che si tratta di un certificato DV.
Il certificato sulla destra, invece, contiene numerosi dati commerciali convalidati. Nonostante si presume che la società di sinistra sia autentica, i dati non sono stati convalidati, il che significa che questo potrebbe anche essere un sito web fraudolento.

book

Nota : Questo sito non è noto come un sito fraudolento. Fonte: Ricerca Symantec, “Hidden-Dangers-Lurking-in-E-Commerce.

Di solito, i criminali creano siti web fraudolenti al fine di rubare identità e account. Per far acquisire legittimità e credibilità al sito, aggiungono molti elementi grafici che fanno sembrare il sito molto reale, in modo da ottenere un certificato SSL, che offre agli utenti un indicatore visivo di sicurezza.Ottenere un certificato DV è relativamente facile. Una volta che il truffatore acquisisce i diritti di un dominio, è possibile richiedere un certificato DV e riceverlo in pochi minuti. Il sito è attivato e il truffatore inizia a dirigere ignari consumatori verso di lui. I consumatori vedono il lucchetto (garantito dal certificato DV) e inseriscono i propri dati, che possono così essere distribuiti in tutta la rete criminale.
La figura seguente mostra un esempio di e-mail di phishing e il sito associato a cui l'utente viene reindirizzato dopo aver cliccato sul link incorporato.

Fonte: https://isc.sans.edu/forums/diary/httpsyourfakebanksupport+--+TLD+confusion+starts/18651 in Ricerca Symantec, “Hidden-Dangers-Lurking-in-E-Commerce”)

letter

Il sito ha una pagina web interessante e mostra la serratura :

site

Un esame del certificato SSL rivela che si tratta di un Certificato DV:

dv

Il fatto che i criminali informatici si prendano la briga di ottenere certificati SSL indica che gli utenti sono abituati a cercare il lucchetto o l'"https" prima di impegnarsi in una transazione. Molti di questi siti fraudolenti sono attivi solo per giorni o ore. Ciò significa che, a differenza di aziende legittime che devono richiedere i certificati solo una volta ogni qualche anno, i criminali lo fanno regolarmente, ma se non fosse così vantaggioso farlo non dedicherebbero tutti questi sforzi e risorse.

Questo è un esempio di EV:

aa

OU = certificato SSL EV MarketWare * Powered by Comodo
OU = "Fornito da Marketware - Soluzioni per i mercati digitali, Lda."
I = "Marketware - Soluzioni per mercati digitali, Lda." Object Identifier (2 5 4 9) = R. Olavo D Eca Leal 4 b
L = Lisbona
ST = Lisbona Object Identifier (2 5 4 17) = 1600-306
C = PT

In questo esempio, è chiaro che il certificato (ed il sito) appartengono a Marketware - Soluzioni per mercati digitali, Lda, Lisbona, Portogallo. Questa informazione è stata verificata dalla CA attraverso un'analisi completa e dettagliata dell'azienda.

La figura seguente mostra come vengono visualizzati i certificati EV nei browser più diffusi:

greenbar

Tutti i browser forniscono suggerimenti visivi (tipicamente un lucchetto o la barra degli indirizzi verde) per indicare che il sito utilizza un certificato EV. Questo rende molto più facile e più rapido per i consumatori sapere che l'identità del sito è stata ampiamente verificata. Tutti i browser mostrano il nome dell'organizzazione a sinistra o a destra dell'URL.

È un certificato non rilasciato da una CA, ma auto-prodotto dalla società.Questi certificati sono in grado di crittografare il traffico del sito, ma mostrano nel browser l'avviso: “sito non attendibile”: per questo non trasmettono nessuna fiducia e non garantiscono nessuna affidabilità agli utenti, che non comunicheranno mai dati personali ad un sito che presenta questo messaggio.

Il Phishing è un tipo di truffa online attraverso cui un phisher (soggetto malintenzionato) cerca di trarre in inganno un utente, per estorcergli informazioni personali, numero di carta di credito, nome utente e password di un account, eccetera.

Il phisher invia all'utente un'e-mail che ha le stesse caratteristiche del messaggio di un soggetto noto all'utente, ad esempio la sua banca, un sito a cui è registrato, ecc., invitandolo a cliccare su un link per far fronte ad un problema che si è verificato. Questo link in realtà non corrisponde al sito ufficiale, ma ad una copia creata dal phisher per raccogliere i dati d'accesso e le informazioni personali dell'utente, allo scopo poi di riutilizzarli per prevelare somme di denaro, compiere acquisti, eccetera.

1. Il truffatore acquista il dominio da un registro di domini utilizzando informazioni false e una carta di credito rubata. Il registratore ha emesso il nome di dominio "myfavoritestore.com" per il truffatore.

2. Dopo aver acquisito i diritti per il dominio, il truffatore richiede un certificato DV da una CA. La CA verifica solo che il candidato può rispondere a una e-mail da quel dominio. Dopo aver ricevuto la risposta, la CA emette il certificato.

3. Il truffatore crea pagine web che simulano la vendita di oggetti di interesse per il pubblico, così come le pagine del carrello, che accettano la carta di credito come forma di pagamento.

4. I consumatori sono attratti da questo sito tramite messaggi di posta elettronica o falsi annunci.

5. Visitando il sito, il consumatore vede la serratura e immagina che il sito sia validato, e quindi sicuro. Perciò fornisce le informazioni relative alla propria carta di credito per effettuare l'acquisto.

6. Il truffatore ruba i dati della carta di credito e il consumatore non riceve la merce. Quando si esamina il certificato SSL per ulteriori dati sul sito, non si trova niente al di là del nome di dominio. Non vi è alcun indirizzo verificato o altre informazioni aziendali.

Il certificato Wildcard serve ad assicurare tutti i sottodomini legati ad un dominio principale.

Ad esempio, se il dominio principale è www.ciao.it, con un certificato Wildcard si potranno assicurare anche gli eventuali domini negozio.ciao.it, info.ciao.it, posta.ciao.it, eccetera, appartenenti al dominio www.ciao.it.

La CSR è la Richiesta di firma certificato, cioè una stringa di testo che deve essere generata sul tuo server per richiedere il certificato SSL.

Per generare la CSR:

https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&id=AR235

I certificati DV necessitando solo una verifica della titolarità del dominio da proteggere, vengono emessi in tempi brevissimi (nell'ordine di una decina di minuti).
I certificati SSL OV, che devono essere emessi dalla CA dopo una verifica dell'esistenza della società, vengono rilasciati dopo qualche giorno.
I certificati EV, invece, richiedono necessariamente tempistiche più lunghe, che variano in base alle dimensioni dell'impresa e al volume delle informazioni da analizzare.
L'SGC, Server Gated Cryptography, rappresenta il più alto livello di cifratura di sempre.
I certificati con SGC abilitano la codifica a 128 o 256 bit, rendendo quindi praticamente impossibile per un Hacker introdursi in una sessione protetta da questi certificati.
L'Hacker Secured è un certificato che permette da una parte di vigilare costantemente sulla rete in modo reattivo e proattivo, evidenziando le eventuali vulnerabilità del sito e offrendo gli strumenti e le strategie per correggerle, dall'altra fornisce un'ulteriore garanzia agli utenti, che si sentiranno protetti contro il furto di dati e contro altre frodi. 
 
Puoi trovare maggiori informazioni su Hacker Secured a questo link:
Con l'http (HyperText Transport Protocol) tutte le comunicazioni avvengono in chiaro, cioè ad un'altra persona è possibile vedere la conversazione tra l'utente ed il sito web, mentre con l'https (HyperText Transfer Protocol Secure) le comunicazioni vengono criptate per garantire maggior sicurezza nello scambio dei dati, cioè, in pratica, nessuno ha accesso alle informazioni scambiate tra sito web ed utente.
In genere l'https viene utilizzato quando è necessario un livello di sicurezza delle informazioni maggiori, ad esempio quando avviene scambio di dati personali, finanziari, o di altre informazioni rilevanti.
La crittografia è la scienza che tratta dei metodi per rendere un messaggio incomprensibile a chi non fosse il reale destinatario.
La trasformazione del messaggio iniziale in un testo incomprensibile viene detta cifratura, mentre la conversione del messaggio cifrato ad un messaggio in chiaro (cioè comprensibile) viene chiamata decifratura.
La trasformazione crittografica viene definita algoritmo di cifratura e usa dei parametri, detti chiavi, che sono necessarie per decifrare l'algoritmo, e quindi il messaggio.
La crittografia simmetrica prevede l'utilizzo di algoritmi di decodifica a chiave privata: codifica e decodifica vengono effettuate utilizzando la stessa chiave privata, che deve essere nota solo ai due interlocutori per mantenere la sicurezza e segretezza delle informazioni scambiate.
Il problema di questo sistema sta nella distribuzione delle chiavi agli utenti, che devono essere trasmesse attraverso un canale sicuro (quello che devono crittografare ancora non lo è visto che deve ancora essere protetto) e nel fatto che nel caso di un sito con un numero elevato di utenti deve essere prodotta una chiave segreta diversa per ogni utente, ovviamente a costi e in tempi consistenti.
 
Questi problemi vengono risolti dalla crittografia asimmetrica, che prevede l'utilizzo di due chiavi differenti per la cifratura, che utilizza una chiave che puó anche essere pubblica, e decifratura, che deve essere per forza privata. Questo sistema risolve i problemi legati alla crittografia simmetrica, poiché sia la chiave pubblica che quella privata vengono generate casualmente quando l'utente fa la richiesta. In pratica l'utente ha due chiavi: una pubblica, che distribuisce a tutti quelli con cui vuole comunicare e che questi utilizzeranno per la cifratura, e una privata, che mantiene segreta e che utilizzerà per decifrare i messaggi.
Navigare in modalità normale comporta che tutte le informazioni scambiate siano accessibili e comprensibili a chiunque si riesca ad introdurre nella connessione.
Navigare in modalità protetta invece comporta che le informazioni scambiate con il sito siano criptate, cioè nessun soggetto esterno alla comunicazione puó comprenderne il significato.
Le PKI (Public Key Infrastructure), o Infrastutture a chiavi pubbliche, costituiscono l'insieme di strumenti, tecnologie e processi per permettere a terze parti fidate di garantire per l'identità di un utente e di associare una chiave pubblica ad un utente.
Il FQDN, o Common Name di un sito, è costituito dal nome del dominio (ad esempio certificados.eu) e dal nome dell'host (ad esempio www).
Ogni certificato va utilizzato su un solo server. Se possiedi più server dovrai acquistare una licenza per ogni server che hai, in quanto utilizzare lo stesso certificato su più server comprometterebbe la sicurezza di tutti i server e il certificato non avrebbe più senso di esistere.
Per quanto riguarda un certificato DV, quando la CA riceve la richiesta del certificato contatta l’azienda richiedente con una mail per attestare che questa esista e, non appena riceve risposta, rilascia il certificato.
Per i certificati OV, invece, il richiedente deve fornire la prova che la propria società esista, che operi legalmente e che la persona che materialmente ha richiesto il certificato sia un dipendente dell'azienda. Dopo aver verificato queste informazioni, la CA rilascia il certificato.
Per i certificati EV invece, la CA prende in esame tutte le informazioni possibili sulla società richiedente, in particolare svolge: una verifica dell'esistenza fisica, legale e operativa dell'azienda che richiede il certificato, una verifica del fatto che l'identità dell'azienda coincida con i dati forniti al momento della richiesta, una verifica del fatto che l'azienda abbia i diritti esclusivi di utilizzo del dominio specificato e una verifica del fatto che l'azienda abbia autorizzato correttamente l'emissione del certificato. Il rilascio del certificato è inoltre vincolato ad una verifica telefonica, non ad una semplice e-mail.
Bisogna scegliere il certificato tenendo conto innanzitutto del tipo di validazione, cioè se si vuole convalidare solo il dominio (DV), l'identità dell'organizzazione (OV) oppure se si vuole convalidare approfonditamente la propria organizzazione (EV), per trasmettere maggior fiducia ai clienti, importante soprattutto se il business dell'impresa si svolge in e-commerce o se l'utente deve condividere un numero consistente di informazioni personali rilevanti online.
In secondo luogo, avete la possibilità di acquistare diverse marche: Symantec, Thawte, GeoTrust, RapidSSL o MarketWare. Scegliete l'offerta che più si adatta alle necessità della vostra impresa!
Quando si apre il sito web,è possibile vedere il certificato di questo sito cliccando sul lucchetto di fianco alla barra con l'indirizzo e poi su "More information".
Logo Digicert
Logo Thawte
Logo Geotrust
Logo Comodo
Logo RapidSSL
Logo marketware