Aggiornamento: leggi anche la seconda parte.
Al di là della semplice presenza online come forma di promozione dei propri prodotti o servizi, l’utilizzo di Internet come mezzo operativo impone una particolare attenzione agli aspetti di sicurezza nella trasmissione dati.
Dall’operatività di un negozio online allo scambio di e-mail, dal trasferimento via FTP o HTTP di dati riservati alla fornitura di software, garantire all’utente una adeguata sicurezza nella trasmissione dei dati è un requisito inderogabile. Oltre che per un fine prettamente pratico, come la tutela della riservatezza dei dati trasferiti, lo è anche per una questione di immagine.
Ma di cosa c’è bisogno per offrire agli utenti un adeguato livello di tranquillità quando fanno i loro acquisti sul nostro sito di commercio elettronico o, in ogni caso, quando trasferiscono dati sensibili via Internet? Crittografare i dati è sufficiente per stare tranquilli? Proviamo ad approfondire la questione.
Sicurezza e identità
La trasmissione sicura dei dati tra un server Web ed un browser è normalmente garantita da algoritmi di crittografia e da protocolli che adottano tali algoritmi. Tralasciando i dettagli tecnici, possiamo dire che le moderne tecniche di crittografia offrono una elevata garanzia che i dati trasmessi, anche se intercettati da un malintenzionato, difficilmente potranno essere decodificati.
Ma proviamo a farci una domanda che probabilmente in pochi si pongono: siamo sicuri che il destinatario a cui abbiamo inviato, ad esempio, i dati della nostra carta di credito sia effettivamente l’interlocutore con cui pensiamo di comunicare? E se si trattasse di qualcuno che ha clonato un sito molto noto per raggirare gli utenti e farsi inviare i dati delle loro carte di credito?
La sola riservatezza del trasferimento dei dati non è garanzia di sicurezza dell’identità del destinatario. È opportuno assicurarsi che chi riceve i nostri dati sia effettivamente il destinatario con cui vogliamo interagire.
Identità online
Indipendentemente dal tipo di attività online erogata, il ruolo dell’identità di un’azienda o di un ente è un fattore cruciale. Lo sanno bene i phisher che, ingannando gli utenti meno accorti, riescono a sottrarre dati personali ed altre informazioni critiche spacciandosi per aziende o enti molto noti.
Quindi, nell’organizzare una attività online è essenziale, oltre ad un meccanismo che offra garanzia di sicurezza nella trasmissione dei dati, anche un sistema che consenta all’utente di avere la certezza dell’identità dell’interlocutore. Avere un’assicurazione sull’identità del destinatario garantisce all’utente di non essere vittima di un’azione di phishing.
Qui entrano in gioco i certificati digitali, il cui scopo è quello di dichiarare le modalità di crittografia adottata per la trasmissione dati e le informazioni sul titolare del certificato.
Da un punto di vista tecnico un certificato digitale è un insieme di informazioni che consentono di verificare l’identità individuale o di un’organizzazione. Un certificato contiene, oltre alla chiave pubblica del suo titolare, altre informazioni di identificazione in base al formato X.509 definito secondo i Public-Key Cryptography Standards (PKCS) sviluppati da RSA Laboratories. In particolare esso deve contenere almeno le seguenti informazioni:
- la versione del formato utilizzato dal certificato
- il numero di serie del certificato
- l’identificatore dell’algoritmo utilizzato per la firma del certificato
- il nome dell’autorità di certificazione che ha rilasciato il certificato
- la data di inizio di validità e la data di scadenza del certificato
- il nome del titolare del certificato
- la chiave pubblica del titolare del certificato
- la firma digitale dell’autorità di certificazione che ha rilasciato il certificato
Eventuali altre informazioni come ad esempio l’indirizzo postale, l’indirizzo di e-mail, ecc. sono opzionali o dipendono dal tipo di certificato.
Le informazioni contenute nel certificato vengono automaticamente valutate dal software che viene utilizzato per il trasferimento dati (Web browser, client FTP, client di posta elettronica) e nel caso di anomalie l’utente viene immediatamente avvisato.
Autorità di certificazione
Come abbiamo detto, un certificato digitale è un contenitore di informazioni sulle modalità di trasmissione sicura e sull’identità dell’interlocutore. Esso offre anche alcune garanzie tecniche, come ad esempio il fatto che non possa essere modificato da altri. Ma chi garantisce per il suo contenuto?
Naturalmente un’azienda che ha bisogno di un certificato per la sua attività online potrebbe generarlo in proprio adottando gli opportuni strumenti. Ma questo meccanismo equivarrebbe ad una sorta di autocertificazione che chiunque può fare. In altre parole chiunque potrebbe realizzare un certificato che attesti di essere IBM! Quindi, una autocertificazione, per quanto tecnicamente fattibile, non va verso lo scopo di offrire una garanzia di identità all’utente.
La garanzia del contenuto di un certificato viene affidato alle cosiddette Autorità di Certificazione (Certificatione Authority o CA), enti universalmente riconosciuti ed autorizzati ad emettere certificati digitali. Le Autorità di Certificazione possono essere assimilate ad una sorta di notai di Internet: fanno determinate verifiche sull’identità del sito Web e/o del richiedente ed al momento del rilascio di un certificato vi appongono una firma digitale validando le informazioni contenute in esso. Oltre a suggellare la validità delle informazioni contenute nel certificato, la firma dell’Autorità di certificazione garantisce che tali informazioni non possano essere modificate da terzi.
Il riconoscimento universale delle Autorità di Certificazione fa sì che i certificati da esse rilasciati siano automaticamente riconosciuti dai browser.
Conclusioni
In conclusione, la sola codifica dei dati durante la loro trasmissione su Internet non offre una garanzia completa per una comunicazione sicura. Oltre ad evitare che qualcuno possa intercettare le informazioni trasmesse è opportuno offrire garanzie sull’identità dell’interlocutore. I certificati svolgono questo ruolo di certificazione dell’identità.
Nella seconda parte di questo articolo vedremo i diversi tipi di certificati, come richiederne l’emissione ad una Autorità di Certificazione e qual è il loro ciclo di vita.