Certificato di sicurezza di un sito web

Firefox Firefox Ultima modifica: 1 settimana, 4 giorni ago 75% degli utenti lo ha giudicato utile

I certificati TLS (Transport Layer Security) verificano l'integrità sia della proprietà che delle informazioni dei siti web visitati. In pratica questi certificati di sicurezza di un sito web aiutano Firefox a determinare se il sito che si sta visitando sia proprio il sito che dichiara di essere. In questo articolo viene spiegato il funzionamento dei certificati.

Quali siti web utilizzano i certificati?

I siti web i cui indirizzi iniziano con https utilizzano certificati del server TLS. I siti web che utilizzano certificati del server TLS sono sicuri solo se soddisfano due condizioni:

  • L'amministratore del sito web possiede o ha il controllo del nome di dominio, garantendo che gli utenti si colleghino al sito legittimo e non a una copia contraffatta o malevola del sito web.
  • Tra il browser e il sito web, si verifica uno scambio di dati crittati tramite TLS per garantire protezione contro intercettazioni o manomissioni da parte di soggetti non autorizzati.

Catena di affidabilità

I browser, come Firefox, verificano i certificati attraverso una gerarchia chiamata catena di affidabilità. Questa gerarchia definisce una struttura per browser e altri programmi per verificare l'integrità del certificato. È un elenco di tre certificati:

  • Il certificato root (trust anchor)
  • Il certificato intermedio
  • Il certificato del server (end entity)
chain-of-trust

Definizione dei tre certificati: il certificato root (radice) appartiene alla Certificate Authority (CA) (autorità di certificazione), che emette certificati del server TLS e il browser si fida intrinsecamente; il certificato intermedio funge da intermediario tra la CA radice e il sito web; il certificato TLS del server viene rilasciato all'ente o all'organizzazione che dimostra il controllo sul dominio del sito web.

I certificati del server TLS si basano sulla crittografia a chiave pubblica in cui una coppia di chiavi asimmetriche ha due chiavi matematicamente correlate:

Chiave privata: questa chiave è tenuta segreta dal suo proprietario e viene utilizzata per operazioni crittografiche come la firma di dati (inclusi i certificati) o la decrittografia di informazioni crittate con la chiave pubblica.

Chiave pubblica: questa chiave è condivisa pubblicamente e viene utilizzata per verificare le firme create dalla chiave privata o per crittare informazioni che solo la chiave privata può decrittografare.

I certificati a chiave pubblica contengono le seguenti informazioni:

  • Dettagli sull'autorità di certificazione (CA) che ha emesso il certificato
  • Una chiave pubblica appartenente all'organizzazione che ha ricevuto il certificato
  • Dettagli identificativi sull'organizzazione che detiene la chiave privata (vedere Contenuto del certificato di seguito. Per TLS, questo è principalmente il nome di dominio del sito web)

Ora possiamo descrivere come Firefox determina se un sito web è sicuro.

In che modo Firefox verifica l'integrità del certificato?

Ecco come Firefox utilizza la catena di affidabilità per verificare i certificati del server TLS:

  1. Firefox scarica il certificato del sito web visitato.
  2. Firefox verifica il certificato utilizzando il database interno delle autorità di certificazione (CA) attendibili.
    • Utilizza la chiave pubblica del certificato radice della CA per garantire che il certificato radice e il certificato intermedio siano firmati correttamente lungo la catena fino al certificato del server TLS fornito dal sito web.
  3. Firefox controlla le informazioni contenute nel certificato per verificare che il sito web a cui si è connessi corrisponda al sito web elencato nel certificato.
  4. Firefox genera una chiave simmetrica (singola) per crittare il traffico HTTP della connessione.
  5. Firefox critta la chiave simmetrica con la chiave pubblica del server, che si trova nel certificato del server.
  6. La chiave privata, che si trova sul server web, decritta i dati di connessione necessari per completare quello che è noto come handshake TLS.

Potrà quindi verificarsi una comunicazione sicura tra Firefox e il sito web.

Visualizzare un certificato

Per visualizzare un certificato, seguire questa procedura:

  1. Fare clic sull'icona del lucchetto Fx89Padlock nella barra degli indirizzi.
  2. Nel pannello Informazioni sul sito che si apre, fare clic su Connessione sicura.
    clic_connessione_sicura_fx134
  3. Nel pannello successivo, fare clic su Ulteriori informazioni.
    clic_ulteriori_informazioni_fx134
  4. Nella finestra Page Info che si apre, fare clic su Visualizza certificato.
    visualizza_certificato_fx134

In Firefox verrà aperta la pagina about:certificate che consente di visualizzare le informazioni sul certificato per il sito web in cui si trova:

pagina_about_certificate_fx134

Le tre schede mostrano, da sinistra a destra, il certificato del server TLS, il certificato intermedio e il certificato radice.

Contenuto di un certificato

Un certificato del server TLS di un sito web contiene le seguenti informazioni:

  • Nome soggetto: contiene attributi facoltativi, ad esempio il nome del sito web e altre informazioni sull'organizzazione proprietaria del certificato.
  • Nome autorità emittente: identifica l'Autorità emittente (CA) che ha rilasciato il certificato.
  • Validita: visualizza il periodo di validità del certificato.
  • Estensione nome alternativo soggetto: elenca gli indirizzi dei siti web per i quali il certificato è valido.
  • Informazioni chiave pubblica: elenca gli attributi della chiave pubblica del certificato.
  • Numero di serie: identifica univocamente il certificato.
  • Algoritmo di firma: algoritmo utilizzato per creare la Firma.
  • Impronte digitali: hash del file del certificato in formato binario DER.
  • Utilizzo della chiave e Utilizzo esteso della chiave: specifica come gli utenti potrebbero utilizzare il certificato, ad esempio per eseguire l'autenticazione del server web TLS.
  • ID chiave soggetto: un identificatore generato dalla chiave pubblica del certificato TLS come modo per identificare il certificato.
  • ID chiave autorità: un identificatore generato dalla chiave pubblica della CA come modo per identificare la chiave pubblica corrispondente alla chiave privata utilizzata per firmare il certificato.
  • Endpoint CRL: la posizione dell'elenco dei certificati revocati (Certificate Revocation List o CRL) dell'autorità di certificazione emittente (Certification Authority o CA).
  • Info autorità (AIA): contiene il metodo di convalida per l'autorità di certificazione e il file del certificato intermedio.
  • Criteri certificato: contiene puntatori al tipo di certificato TLS di cui si tratta (ad esempio, informazioni verificate al momento dell'emissione del certificato).
  • SCT inclusi: elenca i timestamp (data e ora) dei certificati firmati (Signed Certificate Timestamps o SCT).

Certificati problematici

Quando si visita un sito web il cui indirizzo inizia con https e si verifica un problema con il certificato TLS, viene mostrata una pagina di errore. Alcuni degli errori più comuni relativi ai certificati sono elencati nell'articolo Che cosa significa "Questa connessione non è sicura".

Per visualizzare il certificato problematico, procedere nel seguente modo:

  1. Nella pagina Attenzione: potenziale rischio per la sicurezza, fare clic su Avanzate…
    certificato_problematico_avanzate_fx122
  2. Fare clic su Visualizza certificato.
    visualizza_certificato_problematico_fx122

Verrà visualizzata la pagina about:certificate del certificato problematico.

Questi bravi collaboratori hanno contribuito alla scrittura di questo articolo:

Underpass, Michele Rodaro, Alessandro B
Illustration of hands

Collabora

Impara e condividi la tua esperienza con gli altri. Rispondi alle domande e migliora la nostra Knowledge Base.

Ulteriori informazioni