30 giugno 2021
Protocolli SSL e TLS: differenze e funzionalità
Scritto daAlex Baldarelli
Si tratta di protocolli crittografici capaci di codificare i dati ricevuti, così da rendere sicura la loro trasmissione sul web.
Ci si riferisce a tecnologie che possono essere riscontrate ed utilizzate per siti web ma evidenti anche nell’utilizzo di messaggistica istantanea, email e Voice over IP.
Si tratta di protocolli crittografici capaci di codificare i dati ricevuti, così da rendere sicura la loro trasmissione sul web. Quello della riservatezza è un aspetto, se possibile, ancora più importante per un sito e-commerce!
Questi protocolli fungono da certificati che permettono di autenticare questi sistemi di comunicazione. La presenza di questi protocolli rendono un livello di affidabilità per l’utente, che potrà così essere certo di rilasciare i propri dati sensibili in un sito o un’applicazione che li proteggerà.
I protocolli SSL e TLS impediscono l’accesso e l’utilizzo dei dati protetti da parte di criminali informatici in quanto idati criptati sono impossibili da decodificare.
Parlando di dati criptati, in questo caso, ci si riferisce ai dati bancari, inseriti per fare acquisti online, ma anche dati sensibili, quali i propri dati anagrafici o indirizzi, sia web che di residenza. Questi tipi di certificati permettono, come elencato prima, di criptare anche le proprie comunicazioni private, così da non essere vittime di eavesdropping, ovvero di non essere origliati da soggetti terzi. La modifica dei dati inseriti online consente di non essere soggetti da falsificazione ma anche intercettazione e manomissione (spesso citato come tampering).
Importante sapere che per i siti che ricevono soldi oppure dati sensibili, la certificazione si rivela essere obbligatoria per garantire la sicurezza e la privacy degli utenti che li rilasciano.
Se hai bispgno di aiuto per realizzare, o ottimizzare in sicurezza, il tuo sito web, non esitare a contattaric!
Cosa conviene inserire nel proprio sito web: il protocollo SSL oppure il TLS?
Il protocollo TLS altro non è che la versione aggiornata del protocollo SSL.
Infatti, se anche ci si ritrova ad inserire nel proprio sito la certificazione SSL o si naviga su un link che riporta questa dicitura, non si deve pensare di essere incappati in un livello inferiore di sicurezza. Le versioni odierne di SSL riportano al loro interno la versione TLS.
SSL rimane una dicitura utilizzata perché si tratta di una tecnologia ancorata a questo acronimo. È come se “SSL” si fosse trasformato in una marca.
Seppur riconosciuto come SSL, oggigiorno si propone e utilizza il protocollo TLS, o meglio ancora, il protocollo SSL/TLS.
Uno dei problemi su cui ci si può imbattere è l’aggiornamento del dispositivo utilizzato. Infatti, alcuni dei vecchi dispositivi potrebbero non supportare la certificazione, causando così problemi nell’inserimento e attivazione del protocollo.
Come riconoscere l’attivazione del protocollo SSL/TLS
L’attivazione del protocollo può essere individuata da qualsiasi utente grazie ad alcuni particolari.
La presenza della certificazione attiva su un sito web è visibile all’interno dell’url della pagina, sotto forma di lucchetto.
Nel campo di ricerca risulterà esserci un simbolo a lucchetto che, se cliccato, aprirà una finestra che riporterà la tipologia di protocollo attivo sul sito in visualizzazione, evidenziando anche la scadenza della certificazione.
Altra tipologia di visione è il dominio del sito che, nel caso di certificazione attiva di livello superiore risulterà, sempre nell’url, di colore verde.
Ma ancora di più, un elemento che definisce l’attivazione del protocollo SSL/TLS è la presenza, nel link, del protocollo HTTPS. Infatti “http”, acronimo di Hypertext Transfer Protocol, letteralmente il protocollo di trasferimento di un ipertesto, riporterà alla fine una ’s’, un carattere che dichiarerà la sicurezza del sito visualizzato. La ’s’ finale, infatti, sta per “Secure”.
I browser permettono anche di riconoscere la totale assenza del certificato. Infatti, l’assenza della ’s’ nell’Hypertext Transfer Protocol identifica uno spazio che non può assicurare la protezione dei dati sensibili degli utenti. Ciò significa che le trasmissioni all’interno di quel sito possono essere decifrate e manomesse da esterni poiché le informazioni si rivelano essere riconoscibili. Il sito si dimostra vulnerabile.
Se da un lato la colorazione verde permette di riconoscere la presenza del protocollo, il colore rosso esplicita la sua mancanza. L’url del sito visualizzato si colorerà di rosso per dichiarare l’assenza di una protezione.
Altra tipologia di avviso è la finestra di avviso che dichiarerà all’utente che “la connessione non è privata”. Si tratta appunto di una comunicazione che attesta la mancata certificazione. In questi casi, infatti, il codice di sicurezza del sito non è stato aggiornato.
Infine, ultima possibilità è l’errore di connessione SSL. La mancata apertura della pagina ricercata che riporta questa dicitura dimostra la mancanza di una certificazione SSL/TLS nel sito.
Come detto prima, le pagine che riportano questi avvisi, non sono sicuri per la trasmissione o la ricezione di dati sensibili. Fare attenzione a questi dettagli, permette di non cadere vittima di truffe online.
I pro e i contro del protocollo SSL/TLS
Google, sempre attivo per la protezione dei propri utenti, si rivela essere promotore delle certificazioni, dichiarando e promuovendo l’attivazione di questi protocolli, promettendo in cambio un miglioramento del posizionamento del sito nelle sue pagine di ricerca. Google segnala sempre come non sicuri i siti che non hanno il certificato SSL. Il motore di ricerca ha iniziato a penalizzare i siti che non lo prevedono e anche se hanno svolto un ottimo lavoro sui contenuti appariranno sempre in posizione più bassa.
Oltretutto, la tecnologia riporta anche autenticità e reputazione ad una azienda. Infatti, inserendo la certificazione SSL/TLS all’interno del proprio sito e dimostrando così la veridicità dei propri dati aziendali, il protocollo ha la capacità di autenticare e riconoscere come affidabile un rivenditore.
L’influenza positiva del protocollo è controbilanciata, però, da un rallentamento della navigazione del proprio sito. Proteggere i propri dati e i propri clienti ripagando con una moderazione della velocità di navigazione.
Questo ritardo è dovuto proprio alla ricerca del protocollo. Se questi non è presente, l’utente si ritroverà un tipo di avviso di cui si è parlato sopra. In caso contrario, si lavorerà per rendere indecifrabili e perciò crittografati i dati sensibili dell’utente.
I differenti livelli del protocollo SSL/TLS
In base alle proprie possibilità e alle scelte personali, si ha modo di scegliere 3 differenti livelli di protocollo:
Il livello più semplice è occupato da Domain Validated (DV), ovvero la convalida a livello di dominio. Il livello successivo è ricoperto dall’Organization Validated (OV), cioè la convalida a livello di organizzazione e, infine, l’Extended Validated (EV), la convalida estesa.
Come detto, DV occupa il livello minore e infatti richiede la semplice registrazione del dominio. Sono principalmente utilizzati per siti con login e senza invio di dati personali
Successivo è il protocollo SSL OV che invece richiede una certifica maggiore da parte dell’azienda, contattando i rappresentanti. Questa tipologia permette però di consolidare l’affidabilità del rivenditore. È il livello più utilizzato negli e-commerce.
Infine, l’Extended Validated riporta il grado maggiore di sicurezza. Si considera una settimana dall’applicazione reale del certificato poiché l’azienda viene verificata per l’accertamento dell’autenticità di questa. Si tratta del livello con maggiore copertura e viene utilizzato per siti con un gran numero di transazioni. Si tratta di grandi e-commerce o banche. È l’unico livello che riporta il colore verde del dominio all’interno dell’url.
Come installare il protocollo SSL/TLS sul proprio sito
Per applicare il protocollo all’interno del proprio sito, è possibile scegliere tra due strade differenti. Da una parte, abbiamo l’installazione gratuita, dall’altra invece troviamo l’applicazione personale.
La scelta persone ricade sull’acquisto da provider, andando così ad inserire i dati riferiti al server utilizzato, così da generare un codice CSR, ovvero un Certificate Signing Request, una richiesta di certificato di firma e alla ricezione di una chiave privata che, appunto, verrà utilizzata come firma del protocollo SSL/TLS.
L’installazione gratuita, invece, comporta da parte dell’utente, l’aggiunta del proprio dominio all’interno di un provider, come ad esempio SSL for Free, che permette appunto di ottenere la certificazione in modo completamente gratuito, concedendo all’utente un modo sicuro di criptare i dati sensibili riversati sul proprio sito.
La scelta dell’applicazione gratuita permette anche all’utente di non doversi preoccupare dell’aggiornamento della certificazione, differentemente dalla scelta d’acquisto che riporta, all’interno del proprio protocollo, una data di scadenza.
Il controllo del protocollo SSL/TLS
Nel caso di dubbi sulla sicurezza e affidabilità dei siti, è possibile controllare l’autenticità della certificazione propria o di terzi grazie a servizi esterni, come SSL Labs che permette anche di accertarsi del supporto del proprio sito per determinati certificati.
Questi tool di controllo, infatti, consentono di rilevare il livello di sicurezza e l’attendibilità di un sito, verificando il certificato adottato.
Hai bisogno di un sito web sicuro e protetto da certificato di sicurezza? Contattaci!
Ci si riferisce a tecnologie che possono essere riscontrate ed utilizzate per siti web ma evidenti anche nell’utilizzo di messaggistica istantanea, email e Voice over IP.
Si tratta di protocolli crittografici capaci di codificare i dati ricevuti, così da rendere sicura la loro trasmissione sul web. Quello della riservatezza è un aspetto, se possibile, ancora più importante per un sito e-commerce!
Questi protocolli fungono da certificati che permettono di autenticare questi sistemi di comunicazione. La presenza di questi protocolli rendono un livello di affidabilità per l’utente, che potrà così essere certo di rilasciare i propri dati sensibili in un sito o un’applicazione che li proteggerà.
I protocolli SSL e TLS impediscono l’accesso e l’utilizzo dei dati protetti da parte di criminali informatici in quanto idati criptati sono impossibili da decodificare.
Parlando di dati criptati, in questo caso, ci si riferisce ai dati bancari, inseriti per fare acquisti online, ma anche dati sensibili, quali i propri dati anagrafici o indirizzi, sia web che di residenza. Questi tipi di certificati permettono, come elencato prima, di criptare anche le proprie comunicazioni private, così da non essere vittime di eavesdropping, ovvero di non essere origliati da soggetti terzi. La modifica dei dati inseriti online consente di non essere soggetti da falsificazione ma anche intercettazione e manomissione (spesso citato come tampering).
Importante sapere che per i siti che ricevono soldi oppure dati sensibili, la certificazione si rivela essere obbligatoria per garantire la sicurezza e la privacy degli utenti che li rilasciano.
Se hai bispgno di aiuto per realizzare, o ottimizzare in sicurezza, il tuo sito web, non esitare a contattaric!
Cosa conviene inserire nel proprio sito web: il protocollo SSL oppure il TLS?
Il protocollo TLS altro non è che la versione aggiornata del protocollo SSL.
Infatti, se anche ci si ritrova ad inserire nel proprio sito la certificazione SSL o si naviga su un link che riporta questa dicitura, non si deve pensare di essere incappati in un livello inferiore di sicurezza. Le versioni odierne di SSL riportano al loro interno la versione TLS.
SSL rimane una dicitura utilizzata perché si tratta di una tecnologia ancorata a questo acronimo. È come se “SSL” si fosse trasformato in una marca.
Seppur riconosciuto come SSL, oggigiorno si propone e utilizza il protocollo TLS, o meglio ancora, il protocollo SSL/TLS.
Uno dei problemi su cui ci si può imbattere è l’aggiornamento del dispositivo utilizzato. Infatti, alcuni dei vecchi dispositivi potrebbero non supportare la certificazione, causando così problemi nell’inserimento e attivazione del protocollo.
Come riconoscere l’attivazione del protocollo SSL/TLS
L’attivazione del protocollo può essere individuata da qualsiasi utente grazie ad alcuni particolari.
La presenza della certificazione attiva su un sito web è visibile all’interno dell’url della pagina, sotto forma di lucchetto.
Nel campo di ricerca risulterà esserci un simbolo a lucchetto che, se cliccato, aprirà una finestra che riporterà la tipologia di protocollo attivo sul sito in visualizzazione, evidenziando anche la scadenza della certificazione.
Altra tipologia di visione è il dominio del sito che, nel caso di certificazione attiva di livello superiore risulterà, sempre nell’url, di colore verde.
Ma ancora di più, un elemento che definisce l’attivazione del protocollo SSL/TLS è la presenza, nel link, del protocollo HTTPS. Infatti “http”, acronimo di Hypertext Transfer Protocol, letteralmente il protocollo di trasferimento di un ipertesto, riporterà alla fine una ’s’, un carattere che dichiarerà la sicurezza del sito visualizzato. La ’s’ finale, infatti, sta per “Secure”.
I browser permettono anche di riconoscere la totale assenza del certificato. Infatti, l’assenza della ’s’ nell’Hypertext Transfer Protocol identifica uno spazio che non può assicurare la protezione dei dati sensibili degli utenti. Ciò significa che le trasmissioni all’interno di quel sito possono essere decifrate e manomesse da esterni poiché le informazioni si rivelano essere riconoscibili. Il sito si dimostra vulnerabile.
Se da un lato la colorazione verde permette di riconoscere la presenza del protocollo, il colore rosso esplicita la sua mancanza. L’url del sito visualizzato si colorerà di rosso per dichiarare l’assenza di una protezione.
Altra tipologia di avviso è la finestra di avviso che dichiarerà all’utente che “la connessione non è privata”. Si tratta appunto di una comunicazione che attesta la mancata certificazione. In questi casi, infatti, il codice di sicurezza del sito non è stato aggiornato.
Infine, ultima possibilità è l’errore di connessione SSL. La mancata apertura della pagina ricercata che riporta questa dicitura dimostra la mancanza di una certificazione SSL/TLS nel sito.
Come detto prima, le pagine che riportano questi avvisi, non sono sicuri per la trasmissione o la ricezione di dati sensibili. Fare attenzione a questi dettagli, permette di non cadere vittima di truffe online.
I pro e i contro del protocollo SSL/TLS
Google, sempre attivo per la protezione dei propri utenti, si rivela essere promotore delle certificazioni, dichiarando e promuovendo l’attivazione di questi protocolli, promettendo in cambio un miglioramento del posizionamento del sito nelle sue pagine di ricerca. Google segnala sempre come non sicuri i siti che non hanno il certificato SSL. Il motore di ricerca ha iniziato a penalizzare i siti che non lo prevedono e anche se hanno svolto un ottimo lavoro sui contenuti appariranno sempre in posizione più bassa.
Oltretutto, la tecnologia riporta anche autenticità e reputazione ad una azienda. Infatti, inserendo la certificazione SSL/TLS all’interno del proprio sito e dimostrando così la veridicità dei propri dati aziendali, il protocollo ha la capacità di autenticare e riconoscere come affidabile un rivenditore.
L’influenza positiva del protocollo è controbilanciata, però, da un rallentamento della navigazione del proprio sito. Proteggere i propri dati e i propri clienti ripagando con una moderazione della velocità di navigazione.
Questo ritardo è dovuto proprio alla ricerca del protocollo. Se questi non è presente, l’utente si ritroverà un tipo di avviso di cui si è parlato sopra. In caso contrario, si lavorerà per rendere indecifrabili e perciò crittografati i dati sensibili dell’utente.
I differenti livelli del protocollo SSL/TLS
In base alle proprie possibilità e alle scelte personali, si ha modo di scegliere 3 differenti livelli di protocollo:
Il livello più semplice è occupato da Domain Validated (DV), ovvero la convalida a livello di dominio. Il livello successivo è ricoperto dall’Organization Validated (OV), cioè la convalida a livello di organizzazione e, infine, l’Extended Validated (EV), la convalida estesa.
Come detto, DV occupa il livello minore e infatti richiede la semplice registrazione del dominio. Sono principalmente utilizzati per siti con login e senza invio di dati personali
Successivo è il protocollo SSL OV che invece richiede una certifica maggiore da parte dell’azienda, contattando i rappresentanti. Questa tipologia permette però di consolidare l’affidabilità del rivenditore. È il livello più utilizzato negli e-commerce.
Infine, l’Extended Validated riporta il grado maggiore di sicurezza. Si considera una settimana dall’applicazione reale del certificato poiché l’azienda viene verificata per l’accertamento dell’autenticità di questa. Si tratta del livello con maggiore copertura e viene utilizzato per siti con un gran numero di transazioni. Si tratta di grandi e-commerce o banche. È l’unico livello che riporta il colore verde del dominio all’interno dell’url.
Come installare il protocollo SSL/TLS sul proprio sito
Per applicare il protocollo all’interno del proprio sito, è possibile scegliere tra due strade differenti. Da una parte, abbiamo l’installazione gratuita, dall’altra invece troviamo l’applicazione personale.
La scelta persone ricade sull’acquisto da provider, andando così ad inserire i dati riferiti al server utilizzato, così da generare un codice CSR, ovvero un Certificate Signing Request, una richiesta di certificato di firma e alla ricezione di una chiave privata che, appunto, verrà utilizzata come firma del protocollo SSL/TLS.
L’installazione gratuita, invece, comporta da parte dell’utente, l’aggiunta del proprio dominio all’interno di un provider, come ad esempio SSL for Free, che permette appunto di ottenere la certificazione in modo completamente gratuito, concedendo all’utente un modo sicuro di criptare i dati sensibili riversati sul proprio sito.
La scelta dell’applicazione gratuita permette anche all’utente di non doversi preoccupare dell’aggiornamento della certificazione, differentemente dalla scelta d’acquisto che riporta, all’interno del proprio protocollo, una data di scadenza.
Il controllo del protocollo SSL/TLS
Nel caso di dubbi sulla sicurezza e affidabilità dei siti, è possibile controllare l’autenticità della certificazione propria o di terzi grazie a servizi esterni, come SSL Labs che permette anche di accertarsi del supporto del proprio sito per determinati certificati.
Questi tool di controllo, infatti, consentono di rilevare il livello di sicurezza e l’attendibilità di un sito, verificando il certificato adottato.
Hai bisogno di un sito web sicuro e protetto da certificato di sicurezza? Contattaci!
