Che cos’è un certificato di sicurezza del sito Web? Cosa hai bisogno di sapere

Hai mai visto l'errore "C'è un problema con il certificato di sicurezza di questo sito Web" e mi chiedevo cosa significasse? I certificati di sicurezza possono essere un po 'complicati, ma vale la pena imparare cosa sono e come ci aiutano.

Quindi, quali sono i certificati di sicurezza e perché dovremmo preoccuparcene?

Perché sono importanti i certificati di sicurezza dei siti Web

Quando si accede a un sito Web in cui è necessario accedere e gestire un account, è importante proteggere le comunicazioni tra l'utente e il servizio. Questo servizio potrebbe essere la tua banca, un negozio online o un sito Web di e-commerce, PayPal, la tua e-mail o il tuo blog privato.

Quando accedi a questo tipo di siti Web, noterai che l'URL inizia con un'icona a forma di lucchetto e "http s : //" anziché solo "http: //".

Il certificato HTTPS su Google

Questa "S" aggiuntiva indica che stai utilizzando HTTPS (HyperText Transfer Protocol Secure). Una connessione HTTPS è protetta da Secure Socket Layer / Transport Layer Security. I dati inviati tra te e il sito Web sono crittografati e mantengono le informazioni private.

Proprio come il modo in cui accedi a un sito Web per dimostrare che sei un vero affare, un sito Web deve anche dimostrarti che è reale. Lo fa mostrando un certificato di sicurezza Internet al tuo browser. Se il browser accetta il certificato, indica che il sito è legittimo con il simbolo del lucchetto.

Se in un sito Web sicuro manca il protocollo HTTPS o il relativo certificato, è possibile che tu stia cercando un falso. L'accesso a questo sito Web potrebbe comportare l'invio dei tuoi dati a persone sbagliate, il che ti renderebbe vittima di un attacco man-in-the-middle.

Se si desidera verificare se tutto è alla pari, è possibile fare clic sul lucchetto per visualizzare ulteriori dettagli sul certificato. Questa icona del lucchetto cambierà anche per informarti se si verifica un problema.

Controlla le spiegazioni di Google per quelle utilizzate in Chrome e le descrizioni di Mozilla Firefox . Al momento della scrittura, entrambi i browser mostreranno un blocco regolare se tutto è a posto. Se il lucchetto ha o è sostituito da un'icona di qualche tipo, questa è un'indicazione che qualcosa è andato storto.

In che modo i proprietari dei siti ottengono un certificato?

I proprietari di siti Web di e-commerce pagano un terzo chiamato Autorità di certificazione (CA) per verificare chi è la società e che le sue transazioni sono autentiche.

I browser Web, come Google Chrome e Firefox, mantengono elenchi di autorità di certificazione che ritengono affidabili. Quando accedi a un sito Web sicuro, il sito presenta il suo certificato di sicurezza al tuo browser. Se il certificato del sito Web è aggiornato e da un'autorità di certificazione attendibile, è possibile accedere e completare le transazioni.

Esistono molti siti Web di certificati di sicurezza che consentono ai proprietari di siti Web di essere protetti. Ciò include Norton, GoDaddy, Microsoft e numerosi altri. Il loro compito è quello di eseguire la verifica del dominio, in cui assicurano che la persona che richiede un certificato sia anche il proprietario del sito Web. Siamo entrati nel dettaglio di ciò che accade nella nostra guida ai vantaggi della verifica del tuo dominio su Google e Bing .

Questo di solito viene fatto inviando istruzioni all'indirizzo e-mail del sito Web per assicurarsi che solo il proprietario del sito lo legga. Il mittente chiederà all'amministratore di modificare le impostazioni o i file del Domain Name Server (DNS) sul sito Web per dimostrare che sono davvero loro. Se l'amministratore ha richiesto un certificato, può seguire le istruzioni per verificare la propria identità.

Come possono essere aggiornati i certificati di sicurezza

Esistono tipi più rigorosi di certificati che un'autorità di certificazione può offrire per verificare le aziende, come la convalida estesa. Questo può costare centinaia di dollari e le grandi aziende a volte ne pagano migliaia.

La convalida estesa include la verifica di informazioni come l'identità legale del proprietario del sito Web, il nome dell'azienda, l'indirizzo fisico, la registrazione e la giurisdizione di incorporazione. La sicurezza di questo sito Web è una misura importante di fiducia se si gestisce un'azienda.

Nel 2019, vedevi il nome dell'azienda nella sezione del certificato di un browser Chrome o Firefox; tuttavia, nel 2019, entrambi i browser hanno rimosso questa funzione. Puoi comunque vederlo se usi Opera, comunque.

Il sito Web di VeriSign che mostra un certificato esteso in Opera

Autorità di certificazione che lavorano gratuitamente

Ci sono autorità di certificazione gratuite là fuori, ma non hanno gli stessi livelli di sicurezza e branding dei grandi nomi. Inoltre, spesso mancano della loro ubiquità di riconoscimento del browser. Ciò significa che se qualcuno ottiene un certificato di sicurezza gratuito, i visitatori possono vedere un avviso che il certificato non è valido.

Puoi ottenere una verifica del dominio gratuita da StartSSL senza convalida dell'identità. I browser Mozilla e Chrome si fideranno del tuo sito Web con questo certificato. Tuttavia, non ci sarà una barra verde come i pacchetti Extended Validation, che costano circa $ 200.

CACert è un'autorità di certificazione gratuita, guidata dalla comunità. Gli assicuratori volontari CACert si incontrano con i proprietari del sito per rivedere di persona i documenti di identità. Sfortunatamente, i principali browser non si fidano di CACert e vengono inclusi solo in alcuni sistemi operativi open source.

Il sito Web CACert con un certificato gratuito

L'uso di CACert e StartSSL offrirà comunque la crittografia del tuo sito, quindi se hai una semplice interazione dell'utente sul tuo sito (come un forum o un wiki), questi servizi gratuiti potrebbero essere proprio ciò di cui hai bisogno.

Cosa fare se viene visualizzato un avviso relativo al certificato

Certificato del sito Web scaduto

È possibile che si verifichi un avviso di certificato durante la navigazione in Internet. Puoi vedere come appaiono su BadSSL , che contiene link a certificati errati da provare.

Quando ricevi un avviso su un sito Web reale, controlla i dettagli del certificato facendo clic sul lucchetto. Sarai in grado di scoprire perché il tuo browser ha rifiutato il certificato e decidi tu stesso se vuoi continuare. Se il certificato è scaduto, il proprietario del sito Web potrebbe aver dimenticato di rinnovarlo in tempo. Dovresti controllare la data dell'orologio del tuo computer se vedi spesso questo avviso.

Se il browser ha revocato il certificato di sicurezza, significa che il sito utilizza il certificato in modo fraudolento e non dovresti fidarti di esso. Se al browser non piace l'autorità di certificazione, dipende da te. Se ritieni di comprendere e fidarti del modello di verifica peer-to-peer di CACert o della verifica del dominio StartSSL, puoi dire al tuo browser di fidarsi di quelle CA.

Quando viene visualizzato un avviso di certificato da un sito di cui ti fidi, puoi anche provare a controllare il feed Twitter del sito Web, spesso sede di aggiornamenti sul sito, tempi di inattività, sicurezza e altri problemi.

Se non hanno aggiornamenti e se sei in grado, può essere utile contattare il proprietario del sito Web e chiedere cosa sta succedendo. È possibile che tu stia risparmiando molto al proprietario del sito Web e ad altri utenti, nel caso in cui non siano già a conoscenza dell'avviso sul certificato.

Navigare in Internet in sicurezza

I certificati di sicurezza dei siti Web possono sembrare noiosi, ma sono essenziali per identificare un sito Web sicuro. Ora sai come controllare un certificato se qualcosa sembra sbagliato e come proteggere il tuo sito Web se lo desideri.

Ti interessa navigare in Internet in sicurezza? Perché non provare una delle migliori estensioni di sicurezza di Google Chrome ?

Leggi l'articolo completo: che cos'è un certificato di sicurezza del sito Web? Cosa hai bisogno di sapere