SSL (Secure Sockets Layer) e il suo successore, TLS (Sicurezza del livello di trasporto), sono protocolli per stabilire collegamenti autenticati e crittografati tra computer in rete. Sebbene il protocollo SSL sia stato deprecato con il rilascio di TLS 1.0 nel 1999, è ancora comune fare riferimento a queste tecnologie correlate come "SSL" o "SSL /TLS. " La versione più recente è TLS 1.3, definito in RFC 8446 (Agosto 2018).
Continua a leggere per saperne di più su:
- Domande frequenti su SSL /TLS
- Chiavi, certificati e strette di mano
- SSL /TLS e Navigazione Web sicura
- Ottenere un SSL /TLS Certificato
Oppure, per una rapida introduzione TL; DR a SSL, vai avanti per guardare un breve video.
Domande frequenti
SSL (Secure Sockets Layer) e il suo successore, TLS (Sicurezza del livello di trasporto), sono protocolli per stabilire collegamenti autenticati e crittografati tra computer in rete. Sebbene il protocollo SSL sia stato deprecato con il rilascio di TLS 1.0 nel 1999, è ancora comune fare riferimento a queste tecnologie correlate come "SSL" o "SSL /TLS. "
An Certificato SSL (noto anche come a TLS o SSL /TLS certificate) è un documento digitale che lega l'identità di un sito Web a una coppia di chiavi crittografiche composta da una chiave pubblica e una chiave privata. La chiave pubblica, inclusa nel certificato, consente a un browser web di avviare una sessione di comunicazione crittografata con un server Web tramite TLS e HTTPS protocolli. La chiave privata viene mantenuta al sicuro sul server e viene utilizzata per firmare digitalmente pagine Web e altri documenti (come immagini e file JavaScript).
Un certificato SSL include anche informazioni di identificazione su un sito Web, incluso il suo nome di dominio e, facoltativamente, informazioni di identificazione sul proprietario del sito. Se il certificato SSL del server web è firmato da un'autorità di certificazione (CA) pubblicamente attendibile, come SSL.com, il contenuto firmato digitalmente dal server sarà considerato autentico dai browser Web e dai sistemi operativi degli utenti finali.
Un certificato SSL è un tipo di Certificato X.509.
TLS (Sicurezza del livello di trasporto), rilasciato nel 1999, è il successore di SSL (Secure Sockets Layer) protocollo per l'autenticazione e la crittografia. TLS 1.3 è definito in in RFC 8446 (Agosto 2018).
Un tempo era un requisito obbligatorio avere un IP dedicato per ogni certificato SSL su un server web. Questo non è più il caso a causa di una tecnologia chiamata Server Name Indication (SNI). La tua piattaforma di hosting dovrà supportare specificamente SNI. Puoi trovare maggiori informazioni su SNI in questo Articolo SSL.com.
Per la massima compatibilità, porta 443 è la porta standard, quindi consigliata, utilizzata per SSL /TLS comunicazioni. Tuttavia, è possibile utilizzare qualsiasi porta.
TLS 1.3, definito nell'agosto 2018 da RFC 8446, è la versione più recente di SSL /TLS. TLS 1.2 (RFC 5246) è stato definito nell'agosto 2008 e rimane anch'esso ampiamente utilizzato. Versioni di SSL /TLS precedente a TLS 1.2 sono considerati non sicuri e non dovrebbero più essere utilizzati.
TLS le versioni 1.0 e 1.1 sono interessate da un gran numero di vulnerabilità di protocollo e implementazione che sono state pubblicate dai ricercatori sulla sicurezza negli ultimi due decenni. Attacca come ROBOT influenzato l'algoritmo di scambio di chiavi RSA, mentre logjam e DeboleDH dimostrato che molti TLS i server potrebbero essere indotti a utilizzare parametri errati per altri metodi di scambio di chiavi. Compromettere uno scambio di chiavi consente agli aggressori di compromettere completamente la sicurezza della rete e decifrare le conversazioni.
Attacchi a cifre simmetriche, come ad esempio BEAST or Lucky13, hanno dimostrato che varie cifre sono supportate in TLS 1.2 e precedenti, con esempi inclusi RC4 or Modalità CBC cifre, non sono sicure.
Anche le firme sono state colpite, con La falsificazione della firma RSA di Bleichenbacher attacco e altri simili attacchi di imbottitura.
La maggior parte di questi attacchi è stata mitigata TLS 1.2 (purché TLS le istanze sono configurate correttamente), anche se TLS 1.2 è ancora vulnerabile a downgrade degli attacchi, come BARBONCINO, FREAK, o ScambioCurve. Ciò è dovuto al fatto che tutte le versioni di TLS il protocollo precedente alla 1.3 non protegge la negoziazione dell'handshake (che decide la versione del protocollo che verrà utilizzata durante lo scambio).
Chiavi, certificati e strette di mano
SSL /TLS funziona vincolando le identità di entità come siti Web e aziende alla crittografia coppie di chiavi tramite documenti digitali noti come Certificati X.509. Ogni coppia di chiavi è composta da a chiave privata e Chiave pubblica. La chiave privata è protetta e la chiave pubblica può essere ampiamente distribuita tramite un certificato.
La speciale relazione matematica tra le chiavi privata e pubblica in una coppia significa che è possibile utilizzare la chiave pubblica per crittografare un messaggio che può essere decrittografato solo con la chiave privata. Inoltre, il proprietario della chiave privata può utilizzarla per segno altri documenti digitali (come le pagine Web) e chiunque disponga della chiave pubblica possono verificare questa firma.
Se SSL /TLS il certificato stesso è firmato da un autorità di certificazione (CA) pubblicamente attendibile, come SSL.com, il certificato verrà considerato implicitamente considerato attendibile dal software client come browser Web e sistemi operativi. Le CA pubblicamente attendibili sono state approvate dai principali fornitori di software per convalidare le identità che saranno attendibili sulle loro piattaforme. Le procedure di convalida e di rilascio dei certificati di una CA pubblica sono soggette a controlli regolari e rigorosi per mantenere questo stato affidabile.
Tramite l' SSL /TLS stretta di mano, le chiavi pubbliche e private possono essere utilizzate con un certificato di fiducia pubblica per negoziare una sessione di comunicazione crittografata e autenticata su Internet, anche tra due parti che non si sono mai incontrate. Questo semplice fatto è il fondamento della navigazione Web sicura e del commercio elettronico come è noto oggi.
SSL /TLS e Navigazione Web sicura
L'uso più comune e noto di SSL /TLS è una navigazione Web sicura tramite HTTPS protocollo. Un sito Web HTTPS pubblico configurato correttamente include un SSL /TLS certificato firmato da un'autorità di certificazione pubblica attendibile. Gli utenti che visitano un sito Web HTTPS possono essere certi di:
- Autenticità. Il server che presenta il certificato è in possesso della chiave privata che corrisponde alla chiave pubblica nel certificato.
- Integrità. Documenti firmato dal certificato (ad es. pagine Web) non sono stati modificati durante il trasporto da a uomo al centro.
- Crittografia. Le comunicazioni tra client e server sono crittografate.
A causa di queste proprietà, SSL /TLS e HTTPS consentono agli utenti di trasmettere in modo sicuro informazioni riservate come numeri di carte di credito, numeri di previdenza sociale e credenziali di accesso su Internet e di essere certi che il sito Web a cui li stanno inviando sia autentico. Con un sito Web HTTP non sicuro, questi dati vengono inviati come testo normale, prontamente disponibili a qualsiasi intercettatore con accesso al flusso di dati. Inoltre, gli utenti di questi siti Web non protetti non hanno alcuna garanzia di fiducia di terzi sul fatto che il sito Web che stanno visitando sia quello che afferma di essere.
Cerca i seguenti indicatori nella barra degli indirizzi del tuo browser per assicurarti che un sito web che stai visitando sia protetto con un certificato SSL /TLS a livello internazionale (screenshot da Firefox 70.0 su macOS):
- Un'icona lucchetto chiusa a sinistra dell'URL. A seconda del browser e del tipo di certificato installato sul sito Web, il lucchetto potrebbe essere verde e / o accompagnato dall'identificazione di informazioni sulla società che lo gestisce.
- Se mostrato, dovrebbe essere il protocollo all'inizio dell'URL
https://non,http://. Si noti che non tutti i browser visualizzano il protocollo.
I browser desktop moderni avvisano anche i visitatori di siti Web non sicuri che non dispongono di SSL /TLS certificato. Lo screenshot seguente è di un sito Web non sicuro visualizzato in Firefox e mostra un lucchetto barrato a sinistra dell'URL:
Ottenere un SSL /TLS Certificato
Pronto a proteggere il tuo sito web? La procedura di base per richiedere un SSL /TLS il certificato del sito Web è il seguente:
- La persona o l'organizzazione che richiede il certificato genera una coppia di chiavi pubbliche e private, preferibilmente sul server da proteggere.
- La chiave pubblica, insieme ai nomi di dominio da proteggere e (per i certificati OV ed EV) informazioni organizzative sulla società che richiede il certificato, viene utilizzata per generare un richiesta di firma del certificato (CSR).
- Si prega di consultare questa FAQ per istruzioni su come generare una coppia di chiavi e CSR su molte piattaforme server.
- Il CSR viene inviato a una CA pubblicamente attendibile (come SSL.com). La CA convalida le informazioni nel file CSR e genera un certificato firmato che può essere installato sul server web del richiedente.
- Per istruzioni su come ordinare SSL /TLS certificati da SSL.com, vedere questo come fare.
SSL /TLS i certificati variano a seconda dei metodi di convalida utilizzati e del livello di affidabilità che conferiscono, con convalida estesa (EV) offrendo il massimo livello di fiducia. Per informazioni sulle differenze tra i principali metodi di validazione (DV, OV ed EV), consultare il nostro articolo, Certificati DV, OV ed EV.
