Un'autorità di certificazione (CA) è un'organizzazione attendibile che emette certificati digitali per siti web e altre entità. Le CA convalidano il dominio di un sito web e, a seconda del tipo di certificato, la proprietà del sito web, per poi emettere certificati TLS/SSL considerati attendibili dai browser web come Chrome, Safari e Firefox. Le CA contribuiscono quindi a rendere Internet un luogo più sicuro, verificando siti web e altre entità per aumentare la fiducia nelle comunicazioni e nelle transazioni online.

Qual è il ruolo di una CA?

Ogni volta che visiti un sito web con HTTPS o vedi il lucchetto nella barra dell'indirizzo, significa che il sito è stato verificato da una CA. Inoltre, ogni volta che visiti un sito indicato dal browser come "Non sicuro", significa che il sito non è stato convalidato da una CA o che la sua convalida è scaduta.

Qualsiasi sito web che voglia visualizzare il lucchetto e attivare il protocollo HTTPS deve ottenere un certificato TLS/SSL da una CA. Prima di rilasciare un certificato, la CA verifica le informazioni del richiedente, come la proprietà del sito, il nome, l'ubicazione geografica e altro. Le CA devono rispettare rigorosi standard di settore per garantire che ogni CA segua requisiti per la convalida simili. Il CA/Browser Forum, composto dai principali browser e CA, stabilisce gli standard per la crittografia TLS e per i certificati digitali.

Perché abbiamo bisogno di autorità di certificazione?

Senza le autorità di certificazione, gli acquisti, le operazioni bancarie e la navigazione online sarebbero attività meno sicure. I dati inseriti in un modulo web non sarebbero più protetti e potrebbero essere intercettati da un hacker che li preleva tra il browser e il server. Tuttavia, le CA convalidano organizzazioni e individui per fare in modo che solo i siti web legittimi ottengano un certificato TLS. Esistono oltre 100 diverse autorità di certificazione in tutto il mondo che convalidano aziende e siti a livello globale.

Va ricordato che i criminali possono ugualmente cercare di ottenere dei certificati, quindi è importante che gli utenti del web conoscano gli indicatori di attendibilità dei siti, come i sigilli dei siti, per determinare se un sito web è sicuro. Inoltre, è possibile verificare le informazioni identificative del proprietario del certificato, come il nome dell'organizzazione, l'ubicazione e altro, incluse nei certificati digitali a più alta garanzia.

Tre tipi principali di certificati TLS

Esistono tre diversi tipi di certificati TLS rilasciati dalle CA: convalida del dominio (DV), convalida dell'organizzazione (OV) e convalida estesa (EV). Le CA convalidano ogni tipo di certificato in base ai diversi livelli di attendibilità dell'utente, con EV che rappresenta il massimo livello di garanzia disponibile. La differenza tra OV ed EV risiede nel fatto che la CA esegue verifiche aggiuntive per convalidare il richiedente del certificato, offrendo agli utenti finali una maggiore sicurezza sulla legittimità del sito web.

• DV - La proprietà dei certificati Domain Validated (convalida del dominio) è confermata se il richiedente dimostra di avere il controllo del dominio. Tuttavia, i certificati DV non forniscono informazioni identificative dell'organizzazione, per cui non sono consigliati per scopi commerciali.
• OV - I certificati Organization Validated (convalida dell'organizzazione) sono autenticati dalla CA sui database dei registri delle imprese dei governi. Le CA possono richiedere specifici documenti e contattare il personale aziendale per assicurarsi che i certificati OV contengano informazioni commerciali legittime. Questo è il tipo di certificato standard richiesto da un sito web commerciale o pubblico.
• EV - I certificati Extended Validation (convalida estesa) offrono il massimo livello di autenticazione per salvaguardare i marchi aziendali e proteggere gli utenti. Sono utilizzati dalle più importanti aziende al mondo, tra cui oltre la metà dei primi 400 siti di e-commerce, secondo i dati 2019 di Comscore e Netcraft.

Scopri in questo articolo del blog come scegliere il giusto tipo di certificato per il tuo sito.

Tipi di certificati rilasciati dalle CA

Anche se le CA si occupano principalmente di certificati TLS, rilasciano anche una serie di altri certificati digitali, tra cui:

• Certificati di firma del codice - Usati per firmare le release del software e convalidare il software del fornitore o dello sviluppatore.
• Certificati email - Grazie al protocollo S/MIME, si possono proteggere e convalidare le email, dimostrandone l'autorialità e prevenendo la manomissione.
• Certificati di firma dei documenti - Usati per firmare documenti legalmente vincolanti in Adobe, Microsoft e altri programmi, garantendo che siano inalterati e attendibili.
• Certificati del dispositivo - Usati per proteggere i dispositivi IoT (Internet of Things).
• Certificati utente o client - Usati per autenticare le persone.

Come si ottiene un certificato da una CA?

Per ottenere un certificato da una CA come DigiCert, devi compilare una Richiesta di firma del certificato (CSR) e compilare un modulo d'ordine. La procedura è la stessa per ogni tipo di certificato TLS richiesto, ma per i certificati OV ed EV è necessario compilare alcuni campi di informazioni aggiuntivi. DigiCert può completare la convalida in meno di un giorno, per fornirti un certificato TLS nel giro di poche ore, non di giorni.

Ricorda che tutti i certificati TLS/SSL pubblicamente attendibili sono validi per un periodo massimo di un anno (398 giorni) ed è necessario rinnovare la convalida ogni anno.

Come scegliere un'autorità di certificazione

Quando si sceglie un'autorità di certificazione, è necessario tenere conto di diversi fattori, tra cui attendibilità, servizio clienti, riconoscibilità del marchio, costi e strumenti disponibili. Scegliere una CA attendibile è essenziale, perché la sicurezza dei tuoi prodotti, servizi digitali e utenti finali dipende dalla tecnologia fornita dalla CA. Le CA attendibili si sottopongono a verifiche periodiche da parte di soggetti indipendenti, seguono le linee guida del settore e adottano le migliori pratiche per proteggere la loro infrastruttura. Inoltre, molte CA sono attivamente coinvolte in gruppi di settore e nello sviluppo dei relativi standard, sono leader di pensiero nel loro ambito e in grado di fornirti le risorse di cui hai bisogno. Non tutte le CA offrono un supporto clienti 24/7 per assisterti in prima persona. Infine, alcune piattaforme offrono un elenco di autorità di certificazione attendibili che puoi utilizzare.

Scopri in questo articolo del blog come scegliere la giusta autorità di certificazione.

Dove acquistare TLS/SSL

È possibile acquistare un certificato TLS/SSL da qualsiasi autorità di certificazione attendibile. Tuttavia, se stai leggendo questo articolo sai già che DigiCert è una tra le scelte migliori per l'acquisto di certificati TLS/SSL.

DigiCert è una delle più grandi CA al mondo, ha quasi vent'anni di esperienza nella fornitura di soluzioni attendibili a milioni di utenti e di dispositivi in tutto il mondo, e vanta oggi oltre 22 milioni di certificati TLS attivi. La maggior parte delle aziende Fortune 500 e di molte Global 2000 ha scelto DigiCert. Prendiamo sul serio questa responsabilità e adottiamo diverse misure per garantire l'integrità dei nostri certificati, eseguendo oltre due dozzine di audit all'anno. Offriamo inoltre un supporto clienti 24/7 a cinque stelle e stiamo innovando le soluzioni per facilitare la gestione dei certificati. DigiCert è un'azienda attiva e leader nel CA/B Forum e sta sviluppando strumenti per aiutare le organizzazioni a mantenersi conformi ai più rigorosi standard globali. Inoltre, DigiCert offre certificati digitali per ogni esigenza di sicurezza.

Scopri di più su una delle più grandi CA al mondo su www.digicert.com o acquista oggi stesso un certificato TLS.

Scopri perché PKI è l'estensione logica delle tue iniziative TLS/SSL nel nostro eBook PKI.