Per comprendere le differenze fra i tre tipi di certificati SSL - Domain Validated (DV), Organization Validated (OV) e Extended Validation (EV) - è utile capire cosa sono i certificati e come vengono emessi da autorità di certificazione (CA) come DigiCert. Le CA sono organizzazioni esterne affidabili che rilasciano certificati TLS/SSL dopo aver autenticato diversi aspetti di un sito web e dei suoi proprietari.
I certificati TLS/SSL hanno due funzioni. Innanzitutto, forniscono una connessione sicura con un sito web, crittografando i dati trasferiti tra gli utenti e il dominio. In secondo luogo, verificano la titolarità dell'azienda o della persona che possiede l'URL, nonché la sua identità. Proprio come accade per un certificato nel mondo reale, un certificato digitale essenzialmente certifica il tuo diritto di rappresentare la tua azienda o organizzazione online.
I nomi di ciascun tipo di certificato SSL rappresentano i passaggi di convalida che hanno avuto luogo prima dell'emissione del certificato. Ad esempio, i certificati Domain Validated si riferiscono alla semplice verifica del proprietario di un URL, mentre i certificati Organization Validated verificano il proprietario del dominio e autenticano l'organizzazione aziendale affiliata all'indirizzo URL corrispondente. I certificati Extended Validation offrono una garanzia elevata dell'identità, perché richiedono la verifica del proprietario del dominio, dell'organizzazione aziendale e dell'entità legale della società interessata.
A livello di certificato DV, il processo è piuttosto breve e prevede solo che l'acquirente dimostri di avere il controllo del dominio o dell'URL. Per fare ciò, la CA invia una email al proprietario del dominio (il cui nome compare nell'elenco del database WHOIS). Benché sia una procedura utile quando si ha bisogno di un certificato rapido, questa forma di convalida con un solo controllo offre il livello di standard più basso per Internet, e un'affidabilità di pari livello.
Ciò che distingue i certificati OV e EV sono i livelli extra e i passaggi di convalida necessari per ottenerli. Per i certificati EV e OV, le CA devono verificare il proprietario del dominio e diversi altri dati sulla sua attività, come nome, tipo di società, situazione e indirizzo fisico.
Gli EV prevedono nove passaggi aggiuntivi, tra cui la verifica del numero di telefono pubblico dell'azienda, la sua longevità, il numero di registrazione al Registro delle Imprese e la sua giurisdizione, nonché una verifica di eventuali frodi del dominio, delle blacklist di contatti e infine una telefonata per autenticare la posizione lavorativa del richiedente.
Dai certificati zero-assurance a quelli high-assurance, ecco in che modo il processo di convalida
soddisfa la sicurezza dei marchi essenziale per usare il web.
Ogni certificato di tipo TLS/SSL segnala ai clienti il livello di identità della tua organizzazione abbinato al tuo certificato, oltre a convalidare la crittografia sicura del tuo sito web.
I certificati Domain Validated (DV) sono i certificati SSL con il livello più basso di convalida dell'identità e possono essere ottenuti in modo facile e rapido anche da un bot malintenzionato. Si tratta di certificati a basso costo che richiedono solo che una persona o una società possa dimostrare di avere il controllo del dominio web del quale vuole ottenere il certificato.
Per ottenere un certificato DV, il proprietario di un sito web deve ricevere una email di conferma dalla CA emittente presso un indirizzo email registrato per tale dominio sul sito WHOIS. I certificati DV vengono generalmente utilizzati da siti web che non effettuano transazioni commerciali o con carta di credito.
Tipi di siti web che utilizzano certificati DV:
I certificati Organization Validated (OV) sono autenticati tramite nove diversi controlli e sono considerati certificati aziendali di medio livello. Con i certificati OV, le CA autenticano la proprietà del dominio in modo simile ai certificati DV.
Ciò che distingue gli OV dai DV sono i passaggi intrapresi dalle CA per autenticare che il tipo di struttura societaria (ad es. SpA, Srl, SaS, ecc.) connessa al certificato sia valida e in regola.
Sono certificati usati di frequente da siti e pagine web come:
I certificati Extended Validation (EV) hanno 18 livelli di convalida, e richiedono il massimo livello di controllo da parte delle CA. Il processo rigoroso necessario a ottenere i certificati EV protegge l'identità del marchio.
In aggiunta a tutti i passaggi di autenticazione che le CA eseguono per i certificati DV e OV, i certificati EV richiedono il controllo dell'esistenza operativa dell'azienda, la verifica del suo indirizzo fisico e una telefonata per verificare la posizione lavorativa del richiedente.
Sono certificati usati di frequente da siti e pagine web come:
Il team di convalida DigiCert rifiuta circa 3750 certificati EV ogni anno, in parte a causa di richieste fraudolente.
Facendo clic sull'icona del lucchetto nella barra dell'URL è possibile verificare l'identità del proprietario del sito web. Purtroppo, la maggior parte dei siti di phishing oggi ha un lucchetto e un certificato DV. Ecco perché è importante guardare oltre il lucchetto nella barra dell'URL. Se un sito web non è disposto a indicare la propria identità nel certificato, non dovreste essere disposti a condividere con lui alcuna informazione identificativa. Se vedete il nome dell'organizzazione, potete decidere meglio di chi fidarvi.
L'Unione Europea è da sempre una strenua sostenitrice di standard di sicurezza online più rigorosi, per migliorare la fiducia e l'autenticità su Internet. Nel 2015 la Commissione Europea ha approvato la Direttiva sui servizi di pagamento, nota anche come PSD2, per regolamentare le transazioni di pagamento, creare un mercato europeo dei servizi di pagamento più integrato, nonché proteggere i consumatori rendendo i pagamenti più sicuri. Entrata in vigore nel gennaio 2018, la Direttiva PSD2 richiede alle banche e ad altri fornitori di servizi di pagamento online di utilizzare i Certificati qualificati, firme elettroniche giuridicamente vincolanti e ancora più difficili da ottenere rispetto a un certificato EV.
Con l'evoluzione di Internet e il crescente numero di standard di identità compromessi online, DigiCert assume un ruolo attivo nel CA/B Forum per sostenere la necessità di maggiori garanzie dell'identità online. Perché l'autenticità dell'identità online dovrebbe avere la stessa importanza dell'identità nel mondo fisico. Nel nostro ambiente digitale e iperconnesso, la compromissione delle identità online avrà un effetto negativo proprio sulla fiducia del pubblico che cerchiamo di preservare.