Le autorità di certificazione (CA) sono state la base della sicurezza online negli ultimi due decenni e i certificati digitali continuano a essere un metodo affidabile per garantire che transazioni e identità siano sicure. A livello fondamentale, i certificati firmati CA sono strumenti preziosi che autenticano le identità online; consentire comunicazioni sicure e criptate su reti altrimenti non sicure; e confermare l'integrità dei documenti firmati verificando che non siano stati modificati da terzi.
Ma il valore delle CA si estende oltre la loro immediata utilità pratica. Ciò che è un processo di verifica molto semplice per l'utente è sostenuto da una grata di lavoro e da una catena di fiducia che va oltre un semplice controllo dei fatti.
Cosa fanno le CA?
I fornitori di browser e sistemi operativi si affidano alle CA pubbliche (come SSL.com) per verificare:
- Controllo dei nomi di dominio
- La legittimità delle organizzazioni e dei loro agenti
- Informazioni di contatto come indirizzi e-mail
Le CA rilasciano molti tipi di certificati, tutti basati sul X.509 standard. I certificati emessi dall'autorità di certificazione garantiscono che le transazioni del sito Web siano sicure, proteggano da malware e autenticano documenti e scambi di e-mail. L'identificazione delle identità su Internet avviene attraverso una varietà di processi, procedure e protocolli, tutti assicurati dalle autorità di certificazione. Per esempio:
- SSL /TLS fornisce un mezzo affidabile e crittografato per accedere al World Wide Web attraverso i browser, che protegge le informazioni personali e le transazioni.
- Firme digitali fornire documenti digitali autenticati.
- Firma del codice consente una distribuzione sicura del software su Internet.
- S/MIME abilita la posta elettronica autenticata e crittografata.
- Autenticazione client i certificati proteggono l'accesso a computer e applicazioni.
Tutto ciò avviene tramite certificati ancorati al certificato radice di una CA pubblica e collegati tra loro tramite un "catena di fiducia"
Perché è così difficile essere una CA di fiducia pubblica?
Come indicato in precedenza, le CA sono considerate affidabili dai sistemi operativi e da altri software per verificare le identità di siti Web, aziende e privati. Una volta stabilita un'autorità di certificazione pubblica e guadagnata la fiducia dei fornitori di software e di altri giocatori, i suoi certificati digitali sono un modo immediato, sicuro e affidabile per assicurarsi che le informazioni non siano fraudolente. Il processo per creare una CA radice autofirmata è relativamente semplice: onestamente potrebbe essere creato da chiunque disponga di software ampiamente disponibili, a basso costo o gratuito. Tuttavia, in realtà non ci sono molte autorità di certificazione pubbliche. In effetti, ci sono attualmente solo 52 membri CA. del CA / Browser Forum e la stragrande maggioranza di SSL /TLS i certificati provengono da un numero inferiore a quello. Quindi perché non li stanno facendo tutti?
Il motivo per cui le autorità di certificazione pubbliche sono un club così esclusivo è che diventare un'autorità di certificazione pubblica e guadagnare e mantenere la fiducia universale per mantenerla funzionale richiede molto lavoro. L'inclusione in tutti i browser e sistemi operativi è perfetta per l'utente, ma richiede anni di legwork dietro le quinte. Quando si acquista un nuovo computer o si installa software come un browser Web o un client di posta elettronica, è già incluso un elenco di certificati CA radice attendibili. Ma essere aggiunti a quell'elenco non è qualcosa che accade durante la notte e anche restare lì è una sfida.
Per rimanere nel business della vendita di certificati, una CA deve soddisfare i requisiti dei fornitori di software, che cercano tutti di garantire un'esperienza sicura e affidabile per i propri utenti. Ogni principale fornitore di browser e sistemi operativi ha il proprio set di criteri che le CA devono soddisfare e tenere il passo con le modifiche apportate. Il costo per non farlo è alto: se una CA non è inclusa in nessuno dei programmi di root, sia a causa di una violazione della fiducia o a causa di un mancato aggiornamento con le modifiche alle politiche, sarebbe un disastro per il l'intera attività. Nessuna azienda è alla ricerca di un certificato SSL del sito Web che funzioni con Safari ma non con Chrome. Pochi produttori di software vorrebbero un certificato di firma del codice di cui Windows non si fida.
Oltre a mantenere questo delicato equilibrio con browser, sistemi operativi e altri fornitori di software, le autorità di certificazione sono soggette a rigorosi controlli esterni. Vedi quei badge in fondo a questo sito? Ciascuno di questi sigilli rappresenta un audit e ciascuno di questi audit viene effettuato annualmente. Se una CA fallisce un controllo (o non riesce a soddisfare i requisiti del programma root), i certificati della CA potrebbero essere esclusi dagli archivi root cruciali, il che li renderebbe inutili.
I membri della CA del Forum CA / Browser (un consorzio di autorità competenti e fornitori di PKIsoftware abilitato come browser e sistemi operativi) sono attivi nello sviluppo e nell'applicazione di dozzine di standard di settore e nella creazione del Forum CA / B Requisiti di base. I membri partecipano a organizzazioni educative e di ricerca e collaborano con le parti interessate per rafforzare la sicurezza di Internet, spesso assumendo la guida nella proposta e nell'adozione di nuovi standard. Le CA hanno l'interesse maggiore nell'assicurarsi che SSL /TLS sistema funziona e la sua reputazione è solida, il che significa necessariamente che adottano un approccio proattivo e aggressivo nei confronti della sicurezza dei loro sistemi e dei sistemi con cui lavorano.
Oltre ad aderire a questi standard, le autorità di certificazione sono tenute a mantenere e rendere disponibili elenchi di trasparenza dei certificati (registri pubblici di tutti i certificati emessi), nonché elenchi di revoca dei certificati (CRL) e risponditori OCSP, che tengono traccia dei certificati revocati. È di fondamentale importanza assicurarsi che tutti i certificati siano contabilizzati e che la fiducia alla base dei certificati non venga mai meno.
Come scegliere una CA
Quindi, conoscendo tutto il lavoro necessario per mantenere ed eseguire un'autorità di certificazione pubblica, come si determina quale CA è la migliore per le proprie esigenze?
Sebbene ora ci siano opzioni CA a basso costo (o addirittura gratuite), è importante sapere cosa viene scambiato per quel costo ridotto. In generale, le CA gratuite non offrono gli stessi livelli di convalida delle CA commerciali e non offrono nient'altro che SSL /TLS certificati. Ad esempio, possono dimostrare che un richiedente di un sito Web SSL /TLS certificate controlla quel dominio (Domain Validation) ma non fanno il passo in più per affermare chi sia quel proprietario. A seconda del caso d'uso previsto, DV potrebbe andare bene (anche tutte le CA commerciali, incluso SSL.com, lo offrono), ma se hai bisogno di un certificato di firma del codice, firme digitali per Adobe PDF o informazioni convalidate sulla tua attività incluse nel tuo certificato del sito Web, è necessario rivolgersi a una CA commerciale.
Per ulteriori informazioni sulla scelta di una CA affidabile, consulta la nostra Guida alle migliori pratiche.
