La sicurezza dei siti Web è un tema sempre più rilevante, questo per via del fatto che gli attacchi informatici finalizzati alla sottrazione di dati diventano, con il tempo, più raffinati ed insidiosi, mentre aumenta costantemente il numero di informazioni sensibili veicolate in Rete. Garantire un alto livello di tutela e riservatezza diventa, quindi, indispensabile ed è per questo che i browser vendor hanno incentivato l’utilizzo di connessioni protette da certificati SSL su HTTPS e i provider devono poter garantire ai propri clienti il supporto a tali funzionalità.
Ma cosa sono i certificati SSL e in che modo proteggono la nostra navigazione? Costantemente impegnata sul tema della sicurezza online, Register.it ha recentemente organizzato un Webinar molto partecipato (oltre un migliaio di iscritti) con l’obbiettivo di guidare gli utenti alla scelta dei certificati più adatti alle proprie esigenze.
Riportiamo di seguito il video completo relativo al Webinar pubblicato su YouTube da Register.it:
Mentre chi desidera consultare le slide riguardante gli argomenti affrontati potrà farlo su SlideShare da questo indirizzo.
Partiamo quindi dai fondamentali dell’argomento, in modo da disporre degli strumenti necessari per individuare i certificati indispensabili per la nostra tipologia di attività in Rete.
Certificati SSL: che cosa sono?
Il protocollo HTTPS è una versione più sicura del tradizionale HTTP in quanto consente di scambiare dati su Internet che vengono criptati tramite la tecnologia SSL. In pratica, quando visitiamo un sito Web su HTTP i dati scambiati tra il browser e il Web server che ospita il sito possono essere intercettati da estranei in quanto trasmessi "in chiaro", non cifrati. HTTPS e SSL permettono invece di criptare le informazioni impedendo che vengano intercettate, ciò grazie all’utilizzo di un certificato che viene emesso da un ente certificatore che ne garantisce la bontà.
Quali sono le differenze tra i certificati SSL?
Le Certification Authority rilasciano 3 tipologie di certificati che si differenziano in base alle modalità con cui un’azienda viene verificata dall’ente certificatore. Avremo quindi:
- un certificato di tipo DV (Domain Validation), cioè il più semplice da ottenere che prevede tempi di emissione molto brevi, in genere un giorno. Esso consente di validare il solo nome a dominio; per il suo rilascio basterà quindi poter gestire il DNS o le Email di un dominio. Con un certificato DV lo scambio di dati tra siti Web e browser viene criptato, ma sul proprietario del dominio non vengono effettuati accertamenti.
- Un certificato di tipo OV (Organization Validation) in cui il richiedente viene verificato e l’organizzazione validata. Durante la verifica (vetting) vengono convalidati i dati aziendali per stabilirne l’autenticità rispetto al dominio da certificare.
- Un certificato di tipo EV (Extended Validation) che prevede una fase di vetting particolarmente accurata. Grazie ad esso si potrà esporre il proprio nome aziendale direttamente nella barra di navigazione (Green bar). Si tratta del livello di certificazione più elevato con conseguente massima garanzia per gli utenti.
Perché acquistare un certificato SSL?
Oltre a rappresentare una garanzia per la sicurezza, un certificato SSL rende più autorevole il dominio associato agli occhi del visitatore, non dimentichiamoci infatti che tutti i principali browser Web hanno ormai la capacità di segnalare le connessioni non protette, in assenza di tali notifiche si avrà la certezza che i dati scambiati con un sito sono criptati e quindi non intercettabili da utenti malintenzionati.
La protezione dei certificati SSL diviene ancora più importante quanto un sito Internet presenta form di registrazione, moduli per l’invio di email, procedure per il pagamento elettronico, sistemi di autenticazione e qualsiasi altra funzionalità che potrebbe veicolare informazioni sensibili.
E’ poi fondamentale il discorso riguardante l’ottimizzazione per i motori di ricerca (SEO), basti ricordare infatti che Google ha deciso di assegnare livelli di ranking più elevati ai siti che operano sotto HTTPS.
Quale certificato SSL scegliere?
La scelta del giusto certificato SSL per il proprio progetto dovrebbe essere orientata dalla tipologia di sito che si intende proteggere. Volendo essere estremamente pratici è possibile affermare che:
- per un sito Internet composto da sole pagine statiche con form di registrazione o d’invio mail, la scelta più semplice (ma allo stesso tempo efficace) potrebbe essere il certificato DV, privo di verifiche a livello organizzativo. Il rilascio di tale certificato è pressoché immediato.
- Per un sito Internet contenente moduli per l’invio di dati di carte di credito come gli e-commerce, la scelta più adatta potrebbe essere un certificato SSL di tipo OV con validazione a livello organizzativo. In questo modo la propensione all’acquisto aumenterà grazie alla maggiore protezione percepita.
- Per un’organizzazione molto strutturata è invece consigliabile un certificato EV, utile a quelle aziende che desiderano mostrare il proprio brand nella barra di navigazione per dare all’utente assoluta certezza di trovarsi nello store di quel marchio. EV prevede un investimento più elevato rispetto a DV e OV, ma il ritorno in termini di visibilità e affidabilità è certamente superiore.
L’offerta di Register.it per i certificati SSL
Per acquistare i certificati offerti da Register.it è sufficiente visitare la sezione a loro dedicata sul sito Web di Register.it.
Fino al 31 ottobre sarà disponibile uno sconto del 30% su tutte le tipologie di certificati SSL solo per i clienti che richiederanno di aderire (e saranno accettati) al programma Business Partner.
Attivazione del certificato SSL
Una volta scelta la soluzione più adatta alle proprie esigenze, attivare il certificato sarà molto semplice grazie ad una procedura che prevede 3 soli passaggi.
- Accesso al pannello di controllo – Una volta effettuato l’accesso al Pannello di controllo di Register.it, il certificato SSL acquistato sarà presente nella sezione "Prodotti da attivare". A questo puno sarà sufficiente seguire la procedura guidata per ottenere la sua emissione.
- Emissione del certificato – Una volta inserito il CSR creato, sarà richiesto di selezionare la tipologia di Web server su cui installare il certificato SSL e confermare i dati relativi alla email e al contatto amministrativo. A seconda del certificato scelto (DV o OV) si riceverà un’email di conferma o una telefonata al numero indicato.
- Installazione del certificato – Ottenuto il certificato sarà possibile installarlo sul proprio server o spazio hosting. Per i dettagli su come abilitare il protocollo HTTPS e installare il certificato è possibile consultare la documentazione del server o del pannello di amministrazione del prodotto scelto.
Register.it a SMAU per la sicurezza
La sicurezza informatica sarà uno dei temi sui cui sarà incentrata la presenza di Register.it a SMAU, principale fiera italiana dedicata all’Information & Communications Technology, che avverrà in partnership con Symantec e Plesk.
Durante la manifestazione l’azienda avrà un proprio stand e terrà 2 workshop.
Google e HTTPS: il Web cambia faccia
Con la release rilasciata in ottobre Google Chrome inizia a segnalare come insicuri i siti Web privi di protocollo HTTPS e certificato SSL. Visitando un sito in cui vengano richiesti dei dati, che si tratti di un indirizzo email o numeri di carta di credito, gli utenti riceveranno un avviso di navigazione "Non sicura".
Il Workshop permetterà di scoprire le diverse tipologie di certificati SSL e di scegliere la più adatta al proprio business.
Data e ora: 25 ottobre 2017 ore 15: 30. Sede: Arena Smau ICT 1. Speaker: Lorenzo Nutini.
Come rendere più semplice adeguarsi al nuovo Regolamento Generale sulla Protezione dei Dati: I codici di condotta e l’esperienza del CISPE
Entro maggio 2018 tutte le aziende dovranno adeguarsi al nuovo codice europeo sulla protezione dei dati (GDPR, General Data Protection Regulation). Tramite i codici di condotta le imprese potranno semplificare l’adeguamento con una disciplina sulla privacy più adeguata alle proprie esigenze.
I partecipanti potranno confrontarsi con Lorenzo Chiriatti, Presidente del comitato tecnico del CISPE sul codice, che spiegherà cosa sono e come funzionano i codici di condotta descrivendo un case study dedicato al Codice di condotta del CISPE per i fornitori di servizi Cloud.
Data e ora: 26 ottobre ore 12.30. Sede: Arena Smau ICT 1. Speaker: Lorenzo Chiriatti.
Demo/workshop giornaliere
Sono inoltre previsti 3 demo/workshop al giorno all’interno dello stand di Register.it (padiglione 4 di Fieramilanocity, stand F02), ripetuti per 2 volte nell’arco della giornata e così organizzati:
- 10.00 e 14.00: SSL: come sceglierli in base alle esigenze di business
- 11.00 e 15.00: WORPRESS TOOLKIT: la gestione semplificata via Plesk
- 12.00 e 16.00: SICUREZZA: linea guida per la messa in sicurezza di un server Web
Web agency, consulenti IT o software house interessate a ricevere un pass gratuito sono invitate ad inviare una richiesta a [email protected]
