HTTPS è il protocollo di sicurezza di fatto per le comunicazioni web. In effetti, la maggior parte dei browser moderni fortemente sollecitare proprietari di siti Web di utilizzare HTTPS, che richiede ai server Web di presentare un certificato SSL valido, invece del suo HTTP alternativo non sicuro. Ciò significa che se possiedi un sito Web legacy che utilizza HTTP, è probabile che alla fine dovrai passare a HTTPS e acquisire un certificato SSL.
Tuttavia, quando è il momento di acquistare un certificato, è possibile confrontarsi con vari tipi di certificati, ognuno con numerose caratteristiche tecniche. Qui a SSL.com comprendiamo che la selezione del certificato appropriato può essere fonte di confusione e per questo motivo abbiamo creato questo articolo come guida ai possibili tipi di certificato e su come valutare se soddisfano le tue esigenze.
Tassonomia del certificato
Indipendentemente dal tipo, tutti i certificati devono svolgere una funzione essenziale: legare una chiave pubblica per un'identità specifica di una persona, società o organizzazione.
Avendolo detto, autorità di certificazione (CA) come SSL.com può rilasciare certificati per scopi molto diversi, che vanno dalla protezione di piccoli siti Web alla protezione di servizi del settore pubblico su larga scala o ai siti Web di e-commerce. Ciascun caso può imporre requisiti diversi nella politica o funzionalità del certificato, motivo per cui esistono diversi tipi di certificato.
Più specificamente, ci sono due caratteristiche che differenziano i certificati SSL. Questi sono:
- Il livello di convalida una CA esegue le informazioni sul potenziale proprietario del certificato e
- , il numero e tipo di nomi di dominio (per esempio
example.com
,mail.example.com
,*.example.com
, ecc.) supportati da un certificato.
Livello di convalida
Le autorità di certificazione sono responsabili della verifica dell'identità di tutti i potenziali acquirenti di certificati, prima che emettano un certificato. A seconda del tipo di certificato, tuttavia, questi controlli di convalida possono variare da semplici test automatici per dimostrare il controllo del dominio (per i certificati convalidati dal dominio) all'esame manuale completo delle prove, la conferma attraverso database di terze parti e altro (per i certificati di convalida estesa).
Maggiore è il livello di convalida di un certificato, maggiore è la fiducia che può essere riposta in quel certificato. Gli utenti possono fidarsi più facilmente di un sito Web che presenta un certificato di convalida estesa con scambi ad alto rischio (come pagamenti o condivisione di informazioni private), perché un'autorità di certificazione attendibile ha verificato l'identità del proprietario.
Poiché è importante per la sicurezza, i browser riconoscono il livello di convalida di un certificato mostrando elementi grafici speciali nella barra degli indirizzi chiamata indicatori di sicurezza. (L'icona a forma di lucchetto prima dell'indirizzo di questo sito Web è un esempio di indicatore di sicurezza.) Indicatori diversi indicano livelli diversi di convalida e i proprietari di siti Web possono utilizzare un certificato altamente convalidato per rassicurare i visitatori che sono un'azienda legittima.
Le sezioni seguenti descrivono i possibili livelli di convalida in ordine crescente. (Si noti che ogni livello include anche tutta la convalida dei livelli inferiori, ad esempio anche un certificato del server Extended Validation è stato sottoposto con successo alla convalida del dominio.)
La convalida del dominio (DV)
I certificati Domain Validated (DV) vengono emessi dopo un test di risposta alla sfida riuscito (e solitamente automatizzato). In un metodo, la CA genera casualmente un token univoco e richiede all'acquirente del certificato di posizionarlo in posizioni predeterminate all'interno del proprio server Web. La CA esegue quindi una serie di controlli automatici per verificare che il token sia effettivamente presente nel server, il che dimostra che l'acquirente ha effettivamente il controllo del server e del suo dominio. Se il controllo del dominio è confermato, la CA procederà al rilascio di un certificato DV.
L'acquisto e l'installazione di un certificato DV è il metodo più semplice e rapido (e più conveniente) per proteggere il tuo server. La maggior parte dei browser principali mostra una semplice icona di blocco come indicatore di sicurezza quando si visita un sito protetto da un certificato DV.
Sebbene i certificati DV vadano benissimo per un sito Web a basso traffico, in genere non dovrebbero essere considerati affidabili per transazioni ad alto rischio. Se gli hacker compromettono un server HTTPS e hanno la capacità di alterarne il contenuto, possono effettivamente superare i controlli DV e indurre una CA a emettere un certificato SSL valido per un server di terze parti. Naturalmente, le CA affidabili adottano varie contromisure per ridurre al minimo questo rischio, che è uno dei motivi per lavorare solo con CA di cui ti puoi fidare.
Se sei interessato all'acquisto di un certificato DV, puoi trovare ulteriori informazioni su SSL.com Certificati SSL di base qui.
Organizzazione Validation (OV)
Per emettere un certificato OV (Organization Validated), la CA conferma il controllo di un dominio (come con i certificati DV), quindi aggiunge il controllo manuale delle informazioni sull'organizzazione del potenziale cliente attraverso processi di verifica stabiliti e verificati. In genere, la CA richiederà documenti giustificativi verificabili o contatti diretti con il personale dell'organizzazione. Un certificato OV emesso contiene informazioni sull'organizzazione verificate, il che significa che può fornire un livello di garanzia significativamente più alto agli utenti finali rispetto a un certificato DV.
Le organizzazioni di medie dimensioni che non gestiscono le informazioni personali o private degli utenti possono trarre vantaggio dall'uso di un certificato OV. A causa del processo di verifica più approfondito, si noti che un certificato OV potrebbe richiedere più tempo per il rilascio rispetto a un certificato DV e il coinvolgimento degli operatori umani nel processo di verifica implica che un certificato OV è in genere anche più costoso di un certificato DV comparabile.
Se sei interessato, puoi leggere di più qui sui certificati SSL High-Assurance di SSL.com.
Extended Validation (EV)
I certificati EV (Extended Validation) forniscono i massimi livelli di sicurezza e fiducia, poiché un Cs emetterà un certificato EV solo quando la proprietà del server e la legittimità del suo proprietario saranno dimostrate senza ombra di dubbio. La convalida estesa include la convalida del dominio e dell'organizzazione, insieme a rigorosi controlli in background (e controlli incrociati) sull'organizzazione dell'acquirente da parte di multiplo investigatori umani.
Questi controlli includono la verifica dell'esistenza legale, fisica e operativa dell'organizzazione, la ricerca di record corrispondenti nelle banche dati governative ufficiali, la conferma che l'organizzazione effettiva ha autorizzato l'acquisto del certificato EV attraverso callback e altri metodi intensivi.
A causa di questo ulteriore livello di convalida, i browser possono mostrare agli utenti un indicatore di sicurezza speciale che comunica chiaramente l'affidabilità di un sito Web protetto da un certificato EV. Nella maggior parte dei browser principali, la barra degli indirizzi diventa verde e visualizza il nome verificato dell'organizzazione.
Questo è il motivo per cui i certificati EV sono utilizzati da tutti i principali siti Web e banche di e-commerce e sono altamente raccomandati per le aziende che desiderano rafforzare la fiducia dei clienti nel proprio sito. I complessi controlli richiesti significano che può essere necessario più tempo per acquisire un certificato EV rispetto a quelli che utilizzano livelli di convalida inferiori e inoltre i certificati EV possono costare di più rispetto alle soluzioni DV o OV.
Puoi trovare ulteriori informazioni sui certificati EV di SSL.com in questa pagina.
Supporto dominio
Oltre al livello di convalida, i certificati possono essere classificati in base al loro supporto per domini diversi (o multipli).
I certificati del server includeranno uno o più nomi di dominio validi e un browser verifica sempre che il certificato sia stato emesso per il server HTTPS che sta visitando.
In base alle esigenze di ogni acquirente, un certificato può contenere uno o più domini (es example.com
) o sottodomini (ad es info.example.com
). Il supporto del dominio non dipende dal livello di convalida e la maggior parte dei seguenti tipi di certificati sono disponibili nelle varianti DV, OV o EV.
Certificati a dominio singolo
Un certificato a dominio singolo consente ai clienti di garantirne uno Nome di dominio completo (FQDN) su un singolo certificato. Ad esempio, un certificato acquistato per www.example.com
consente ai clienti di proteggere tutte le pagine sotto www.example.com/
, come www.example.com/register
or www.example.com/certificates
.
I certificati a dominio singolo sono ideali per le aziende che gestiscono un numero limitato di siti Web, ma se la tua azienda prevede l'uso di più domini o richiede ulteriore flessibilità, praticità o risparmio, potresti essere interessato a certificati con caratteri jolly o multidominio.
Puoi trovare i certificati a dominio singolo di SSL.com qui e qui.
Certificati jolly
I certificati jolly consentono ai clienti di proteggere contro tutti i i sottodomini sotto un nome di dominio completo. Ad esempio, un singolo certificato jolly per example.com
può proteggere example.com
e tutti i sottodomini (come www.example.com
, info.example.com
or mail.example.com
) Ciò può semplificare notevolmente la gestione della sicurezza su più server e siti (poiché è possibile utilizzare un certificato jolly anziché più certificati a dominio singolo), ma si noti che i certificati jolly sono solo DV o OV.
Se sei interessato all'acquisto di un certificato con caratteri jolly, puoi trovare ulteriori informazioni in questa pagina.
(Se la tua azienda gestisce tre o meno domini, potresti beneficiare di uno dei nostri Certificati SSL premium. piuttosto che un certificato jolly.)
Certificati multi-dominio (aka SAN o UCC)
I certificati multi-dominio possono essere trovati offerti con nomi diversi, ma vengono comunemente chiamati Nome alternativo oggetto (SAN) certificati o Certificati di comunicazioni unificate (UCC).
I certificati SAN / UCC consentono ai proprietari di siti Web di proteggere diversi domini distinti con un solo certificato. Ad esempio, un singolo certificato SAN / UCC può essere utilizzato per proteggere entrambi www.example.com
e www.example.co.uk
. Si noti che i certificati SAN / UCC non forniscono la stessa funzione dei certificati jolly, sebbene i certificati SAN / UCC possano includere sia domini jolly che domini che non sono sottodomini dello stesso nome di dominio completo.
Un singolo certificato SAN / UCC può supportare diverse migliaia di domini diversi. I clienti possono aggiungere o rimuovere domini in qualsiasi momento, semplificando la gestione della propria infrastruttura di sicurezza. Gli amministratori devono solo monitorare un singolo certificato con una data di scadenza unificata per tutti i domini, anziché più certificati a dominio singolo.
Inoltre, i certificati SAN / UCC sono ideali per gli ambienti Microsoft® Exchange e Office Communications, perché possono utilizzare i loro domini alternativi per supportare il servizio di individuazione automatica di Exchange, che può semplificare notevolmente l'amministrazione dei client. (I certificati SAN / UCC sono talvolta noti anche come "certificati di Exchange" per questo motivo.)
Puoi trovare ulteriori informazioni sui nostri certificati SAN / UCC qui. Per i clienti aziendali, SSL.com fornisce anche il nostro Certificati Enterprise EV SAN / UCC.
Se la tua azienda gestisce solo tre o meno nomi di dominio (che possono essere o meno sottodomini correlati) potresti prendere in considerazione a Certificato SSL Premium.
Conclusione
I certificati server sono uno strumento potente per proteggere i dati e la reputazione del tuo sito e la selezione del certificato corretto per soddisfare le tue esigenze può ridurre notevolmente i costi e gli sforzi necessari per amministrare la tua infrastruttura di sicurezza. Ci auguriamo che questo articolo ti aiuti a comprendere meglio la variazione delle loro caratteristiche, i tempi di emissione e i prezzi, ma siamo sempre felici di aiutarti a trovare la soluzione che funziona per te. Non esitate a contattarci a supporto@ssl.com per via live chat per ulteriori informazioni o consigli.
E come sempre, grazie per aver scelto SSL.com, dove crediamo a più sicuro Internet è un better Internet.