Autorità Certificative

Una Autorità Certificativa (CA, Certificate Authority) è una organizzazione di terze parti con tre obiettivi principali:

1. Rilasciare certificati.
2. Confermare l'identità del possessore di un certificato.
3. Fornire la prova che un certificato è valido.

Potresti aver sentito di Symantec, Comodo o Let's Encrypt, tra gli altri.

Diventare una CA è un susseguirsi intenso di requisiti di sicurezza e audit.
Devi essere affidabile per essere accettato all'interno di un archivio radice.
Un archivio radice è fondamentalmente un database di CA fidate.
Apple, Windows e Mozilla hanno i propri archivi radice che pre-installano nel tuo computer o device.

Quale certificato dovresti acquistare? Fondamentalmente ci sono 3 gusti.

Domain validated (DV). Il certificato verifica soltanto il nome di dominio, e nient'altro. Probabilmente hai bisogno di questo.
Organization validated (OV). Il certificato richiede la validazione e la verifica manuale dell'organizzazione dietro al certificato.
Extended validation (EV). Il certificato richiede una verifica esaustiva del business.

Tutti i certificati validi fanno sì che il browser mostri un badge di sicurezza nella barra degli indirizzi. I certificati EV generalmente mostrano anche il nome dell'azienda.

CERTIFICATAPPROVED

Ma come vengono convalidati i certificati?

Quando una CA emette un certificato, lo firma con il proprio certificato radice, preinstallato nell'archivio radice.
Il più delle volte viene usato un certificato intermedio, firmato a sua volta con un certificato radice.
Se succede una gatt-astrofe e il certificato radice viene compromesso, è facile revocare i certificati intermedi, visto che i certificati radice sono installati su tutti i device.

Scopriamo come un certificato viene validato. Il processo è basato su una 'catena di fiducia'.

Il tuo browser si connette a un sito via HTTPS e scarica il certificato.
Il certificato non è un certificato radice.
Il browser scarica il certificato che è stato usato per firmare il certificato sul sito.
Ma anche questo non è il certificato radice.
Il tuo browser ancora una volta cerca il certificato che ha firmato il certificato intermedio.

È il certificato radice! Evviva!

L'intera catena di certificati è affidabile, e in questo modo anche il certificato del sito è validato.

Nel caso in cui l'ultimo certificato non sia un certificato radice, e non ci siano altri certificati da scaricare, la catena è ritenuta non affidabile.

Ma perché usare una Autorità Certificativa quando potresti firmare da solo i tuoi certificati?

Un certificato self-signed (firmato da solo) fornisce lo stesso livello di cifratura di uno generato da una autorità.
Nessun granchio può spiare i tuoi dati.

E non ci sono costi per firmare da solo i tuoi certificati!

Sì, ma quasi tutti i browser verificano che il certificato sia generato da una autorità fidata.

Per questo, i visitatori vengono informati che il certificato non può essere ritenuto affidabile.

I certificati self-signed possono essere utili per fasi di testing e per le reti interne (intranets), ma dovrebbero essere evitati su siti pubblici.

I certificati self-signed possono essere contraffatti. Fondamentalmente dicono 'Fidati di me, sono io, te lo assicuro!'.
Un certificato affidabile dice 'Fidati di me, mi ha verificato una autorità'.

E parlando di fiducia: grazie per averci dato fiducia attraverso questa storia.

Purtroppo stiamo arrivando alla fine.

Speriamo che questo fumetto ti sia piaciuto!

A presto!

Ehi, ce l'hai fatta!

Hai finito il fumetto! Grazie dal profondo delle nostre zampe di gatto per aver speso un po' del tuo tempo leggendo a proposito di HTTPS.

Ti proponiamo tre attività per distoglierti dal fatto che non c'è un altro episodio da leggere.

1. Fai il quiz

Per rimediare, puoi testare la tua nuova conoscenza di HTTPS in un quiz. Già, proprio così. Ti invieremo addirittura un certificato di completamento se farai un punteggio abbastanza alto.

Take the HTTPS quiz

2. Sfogati sui social network

La cosa più umana da fare. Se vuoi metterci pressione per farci creare più fumetti, ecco alcuni esempi su come farci muovere.

I want my new comic right meow 😸 @dnsimple! #certificat https://howhttps.works

Tweet this

Don't cat corners! ✂ 🐈 but make more comics @dnsimple #certificat https://howhttps.works

Tweet that

I have a good feline about this upcoming comic @dnsimple 😻 #certificat https://howhttps.works

Tweet this other thing

Bad crab. Bad @dnsimple. 🦀 Make more comics! #crab https://howhttps.works

Last chance tweet button

3. Visita DNSimple

Se ti è piaciuto il fumetto e ti serve un certificato SSL per rendere sicuro il tuo sito, o un DNS solido come una roccia e facile da usare (non lo diciamo noi), o un dominio nuovo di zecca, dai una occhiata.

Visit dnsimple

P.S. Se vuoi suggerire un nuovo episodio (per favore non farlo, perché dovremo aggiornare questa pagina) o darci un feedback sulle pagine già esistenti, siamo tutt'orecchi (di gatto).