Symantec

INFORMAZIONI DI CARATTERE GENERALE

Cos'è un sito web sicuro?

I browser consentono di collegarsi a un sito web in due modalità differenti: normale e protetta.
Quando si naviga in rete in modalità normale tutte le informazioni scambiate con il sito web al quale si è collegati risultano comprensibili a qualunque soggetto riesca a inserirsi nella connessione.
Navigando invece in modalità protetta tutte le informazioni scambiate risulteranno cifrate: ciò significa che nessuno, dall'esterno, sarà in grado di comprenderle.
Un sito web sicuro è dunque quello che consente il collegamento e la sua navigazione in modalità protetta.
Quasi tutti i principali browser (Internet Explorer, Chrome, Safari, Opera) evidenziano la navigazione in modalità protetta mediante un lucchetto chiuso posto accanto o all'interno della barra di navigazione.
Firefox invece, per fornire informazioni relative al tipo di connessione, richiede di cliccare nella barra di navigazione, alla sinistra dell'indirizzo del sito.

Cos'è il protocollo SSL?

Il Secure Socket Layer (SSL) e il suo successore Transport Layer Security (TLS ) sono un protocolli crittografici che permettono una comunicazione sicura sulle reti TCP/IP (come, per esempio, Internet) fornendo autenticazione, crittografia e integrità dei dati.
Sviluppato da Netscape nel 1996 il protocollo SSL, poi TLS, fu successivamente adottato, in maniera pressoché universale, come metodo per proteggere le trasmissioni di dati in Internet.
Il protocollo TLS/SSL, supportato e utilizzato - tra l'altro - da browser e web server, fa uso di un sistema di crittografia asimmetrica, quindi a coppia di chiavi (pubblica e privata).
Tale sistema di crittografia fu sviluppato, nel 1978, dai ricercatori Ronald Rivest, Adi Shamir e Leonard Adleman mediante il loro algoritmo RSA.
Per poter avviare una connessione TLS/SSL tra un client (il browser) e un server è necessario che almeno su quest'ultimo sia installato un certificato digitale: un file elettronico, cioè, capace di identificare in maniera univoca server e client.
Il certificato digitale installato sul server consente al client di autenticare il server stesso.
I certificati digitali sono firmati, di norma, da una terza parte affidabile e indipendente che ne garantisce la validità. Tale terza parte si chiama Autorità di Certificazione o Certification Authority (CA). VeriSign è la più riconosciuta CA del mondo.
Il protocollo TLS/SSL consente, come detto, comunicazioni in rete sicure fornendo i tre seguenti importanti elementi: 1- autenticazione - un certificato digitale per server è indissolubilmente associato a uno specifico nome di dominio.
In particolare, prima di rilasciare un certificato digitale per server, le CA eseguono una serie di verifiche volte a confermare l'identità dell'organizzazione che richiede il certificato e il suo diritto a utilizzare il dominio al quale il certificato stesso verrà associato.
Questo legame tra il certificato e il nome di dominio offre agli utenti la garanzia di interagire con il sito web di un'organizzazione autorizzata e legalmente riconosciuta;
2- crittografia - attraverso il processo di cifratura le informazioni trasmesse in rete vengono trasformate in modo tale da risultare comprensibili, una volta decifrate, al solo destinatario.
Un certificato SSL lega un'identità a una coppia di chiavi elettroniche che può essere usata per cifrare e firmare le informazioni trasmesse in rete attraverso il protocollo "https";
3- integrità dei dati - i dati scambiati nelle connessioni TLS/SSL sono protetti contro il tentativo, da parte di eventuali terzi malintenzionati, di apportarvi modifiche durante la trasmissione.
Le parti coinvolte nella connessione sanno, dunque, con certezza che le informazioni da loro ricevute sono esattamente quelle partite dall'altro capo del collegamento.
Il protocollo TLS/SSL risulta essere, dunque, un mezzo estremamente potente per la conduzione di transazioni online, autenticate e cifrate, con i clienti del vostro sito web.
Con un certificato SSL Symantec-VeriSign installato sul vostro sito web, i vostri utenti o i vostri clienti potranno inviarvi i numeri delle loro carte di credito, o altre informazioni sensibili, nella più totale garanzia, non solo di interagire realmente con voi, ma anche di trasmettere tali informazioni in modo tale che esse non possano essere comprese, né alterate da alcuno durante la comunicazione.

Cos'è la crittografia?

La crittografia è la scienza che si occupa di proteggere le informazioni, rendendole incomprensibili a chiunque le dovesse intercettare, in modo tale che possano essere decifrate soltanto dal legittimo destinatario.

Il messaggio da proteggere viene detto testo in chiaro, mentre quello trasformato, in modo da essere incomprensibile, viene detto testo cifrato.
La trasformazione da testo in chiaro a testo cifrato si dice cifratura, mentre la trasformazione inversa si dice decifratura.

La trasformazione crittografica è detta algoritmo di cifratura e specifica la procedura che trasforma il testo in chiaro in quello cifrato.
Questa trasformazione è parametrica e il parametro è detto chiave: ciò significa che la trasformazione in sé è soltanto un procedimento, il quale però per essere attuato ha bisogno di un'informazione ulteriore da cui dipende il risultato.

Per decifrare il messaggio non basta conoscere l'algoritmo di cifratura utilizzato, ma è necessario conoscere anche la chiave.

In genere, nello studio degli algoritmi crittografici e della loro sicurezza, si ipotizza che l'algoritmo sia noto a tutti e che ciò che non è noto sia esclusivamente la chiave: questo perché oggi si considera inaffidabile un sistema crittografico la cui sicurezza si basi sulla segretezza dell'algoritmo.

La crittografia tradizionale si basa su un meccanismo per cui cifratura e decifratura sono effettuate utilizzando la stessa chiave: per questo si parla di crittografia simmetrica, o anche, dato che tale chiave deve essere nota solo ai due interlocutori, di crittografia a chiave segreta.
Un noto algoritmo di questo tipo è il DES (Data Encryption Standard).

Il grosso problema di questo approccio è però la distribuzione delle chiavi: se due interlocutori vogliono usare un algoritmo di questo tipo, per comunicare in modo sicuro, devono prima accordarsi in qualche modo sulla chiave, per esempio vedendosi di persona.
Infatti, dato che il canale che usano per la trasmissione dei messaggi non è sicuro (altrimenti non avrebbero bisogno di cifrarli), non possono utilizzarlo per trasmettere la chiave.

Il problema è stato risolto nel decennio tra il 1970 e il 1980 con l'invenzione della crittografia asimmetrica o a chiave pubblica.

Con algoritmi di quest'ultimo tipo ogni soggetto ha due chiavi complementari: una pubblica, da distribuire a tutti quelli con cui vuole comunicare, e una privata da tenere segreta.

L'operazione di cifratura con la chiave pubblica può essere effettuata da chiunque, mentre quella mediante la chiave privata può essere fatta soltanto dal proprietario della chiave medesima.

Poiché la chiave (pubblica) è nota a tutti non esiste più il problema della sua distribuzione: per comunicare in modo sicuro con una persona basta cifrare il messaggio con la sua chiave pubblica.

Il più noto tra gli algoritmi di questo tipo è probabilmente l'RSA (dalle iniziali dei suoi tre inventori: Ronald Rivest, Adi Shamir e Leonard Adleman).

Come funziona la crittografia asimmetrica o a chiave pubblica?

L'avvento della crittografia asimmetrica o a chiave pubblica, alla fine degli anni settanta del secolo scorso, ha eliminato il problema della distribuzione delle chiavi nell'ambito dagli algoritmi di crittografia simmetrica o a chiave segreta.

Questa sua caratteristica ha subito reso gli algoritmi di crittografia a chiave pubblica ideali per le transazioni online.

Nella crittografia asimmetrica o a chiave pubblica ogni soggetto possiede una coppia di chiavi complementari, una delle chievi è denominata pubblica e l'altra privata. Qualsiasi informazione cifrata utilizzando la chiave pubblica può essere decifrata soltanto utilizzando la corrispondente chiave privata e viceversa.

Cerchiamo di chiarire con un esempio il funzionamento del meccanismo di crittografia asimmetrica.

Bob ha due chiavi complementari: ciò che viene cifrato con una chiave può essere, come detto, decifrato dall'altra.
Egli mantiene una delle due chiavi chiave privata (cioè segrata) e rende l'altra disponibile a chiunque voglia scambiare messaggi, in sicurezza, con lui (chiave pubblica).

Alice, dovendo mandare un messaggio a Bob, lo cifrerà dunque utilizando la chiave pubblica di quest'ultimo e glielo invierà.
Bob, una volta ricevuto il messaggio di Alice, lo decifrerà con la propria chiave privata: l'unica in grado di compiere tale operazione.

Il meccanismo crittografia a chiave pubblica presenta, rispetto a quello a chiave segreta, molti vantaggi:

  • Bob non deve affatto preoccuparsi dell'invio, ad Alice, in una qualche modalità protetta della chiave, essendo questa destinata a essere resa pubblica. Se qualcuno, infatti, ne entrasse in possesso tutto quello che potrebbe farci sarebbe inviare a Bob dei messaggi cifrati. L'eventale intruso che dovesse procurarsi la chiave pubblica di Bob non potrebbe chiaramente usarla né per decifrare i messaggi inviati a Bob (operazione per la quale è necessaria la chiave privata di Bob), né tantomeno per inviare messaggi dall'account di quest'ultimo.
    Bob dunque può, in assoluta tranquillità, inviare per email la propria chiave pubblica ad Alice, oppure addirittura pubblicarla in una qualsiasi directory pubblica;
  • Bob ed Alice non devono neanche preoccuparsi del fatto che qualcuno potrebbe aver intercettato il messaggio inviato: solo Bob, infatti, utilizzando la propria chiave privata, della quale è l'unico possessore, può decifrarlo.

Una delle grosse innovazioni indotte dalla crittografia asimmetrica è la firma digitale: il mittente di un messaggio può infatti firmarlo digitalmente grazie alla propria chiave privata (che solo lui possiede), ma chiunque è in grado di verificare l'autenticità della firma grazie alla chiave pubblica dello stesso mittente(che è globalmente nota).

La firma digitale può essere abbinata alla normale cifratura, ottenendo così messaggi firmati digitalmente e cifrati.
Si ipotizzi che Alice voglia mandare un messaggio a Bob: per prima cosa lo cifrerà con la propria chiave privata (firma digitale) e poi con quella pubblica dello stesso Bob (cifratura), infine invierà il messaggio.
Quando Bob lo riceverà prima lo decifrerà con la propria chiave privata (operazione che solo lui può fare, per cui è garantita la confidenzialità) e poi con quella pubblica di Alice: se l'operazione andrà a buon fine Bob avrà la certezza che il mittente è realmente Alice, perché soltanto lei può aver cifrato (firmato) il messaggio con la propria chiave privata.

In realtà il modo in cui si realizza la firma digitale è leggermente più complicato. Ciò che il mittente cifra con la propria chiave privata per garantire l'autenticità non è l'intero messaggio, ma una sua "impronta", detta digest, ottenuta mediante una particolare funzione detta di hash: il digest cifrato viene poi allegato al messaggio e ne costituisce la firma. Il destinatario calcola il digest del messaggio ricevuto (la funzione di hash è pubblica) e lo confronta con quello che ottiene decifrando con la chiave pubblica del mittente la firma allegata: se coincidono la firma è autentica.

Si potrebbe pensare che, dopo l'invenzione della crittografia a chiave pubblica, quella a chiave segreta abbia perso interesse, ma le cose non stanno così. Gli algoritmi asimmetrici sono infatti computazionalmente molto più onerosi di quelli simmetrici, per cui il loro uso risulta, in tali termini, molto più pesante. Una soluzione comunemente adottata è l'uso della crittografia asimmetrica per concordare una chiave segreta da utilizzare poi per scambiarsi i messaggi tramite un algoritmo a chiave simmetrica: in questo modo il computazionalmente pesante algoritmo a chiave pubblica viene usato solo per trasmettere una piccola quantità di dati (la chiave segreta), mentre per il resto si usa il più leggero algoritmo a chiave segreta.

Che relazione c'è tra la chiave pubblica e il certificato digitale?

Nella crittografia asimmetrica, o a chiave pubblica, se Alice vuole inviare un messaggio segreto a Bob deve procurarsi una copia della chiave pubblica di quest'ultimo. Nel fare tale operazione, però, Alice deve sincerarsi che la chiave che sta, per esempio, scaricando da una directory pubblica appartenga realmente a Bob.

I certificati digitali risolvono proprio questo problema: un certificato è infatti un documento elettronico che lega una chiave pubblica a un soggetto.
I certificati digitali sono rilasciati da una terza parte fidata denominata Autorità di Certificazione o Certification Authority (CA) come, per esempio, VeriSign. Prima di rilasciare un certificato, ogni buona CA, esegue delle procedure di verifica volte allo scopo di accertare che il soggetto richiedente sia realmente chi afferma di essere.

Un certificato con chiave pubblica contiene le seguenti informazioni:

  • il soggetto del certificato. Nel caso di un certificato SSL per soggetto si intendono il nome dell'organizzazione richiedente e il common name per il quale è effettuata la richiesta: per esempio Trust Italia Spa per il common name www.trustitalia.it;
  • il periodo di validità del certificato;
  • la chiave pubblica;
  • l'ente emittente, cioè la Certification Autority, una terza parte indipendente e fidata come, per esempio, VeriSign;
  • la firma dell'ente emittente.

Cos’è un'Autorità di Certificazione?

Un'Autorità di Certificazione o Certification Authority (CA) è una terza parte fidata che rilascia, revoca, rinnova e fornisce online le directory dei certificati digitali dalle quali è possibile scaricare le chiavi pubbliche.

Le Autorità di Certificazione più serie eseguono controlli molto rigorosi prima di rilasciare un certificato.
Tali controlli, nel loro insieme detti Procedure di Validazione, hanno lo scopo di verificare e autenticare l'identità dei soggetti che richiedono i certificati.

Tutti i certificati rilasciati sono firmati con la chiave privata dell'Autorità di Certificazione per garantirne l'autenticità.

In genere la chiave pubblica di un'Autorità di Certificazione è ampiamente distribuita.
La maggior parte dei browser normalmente accetta in maniera automatica i certificati server rilasciati da Autorità di Certificazione universalmente note, come per esempio VeriSign, dal momento che la chiave pubblica di queste CA viene installata nei browser prima che questi ultimi siano distribuiti agli utenti.

Qual'è il livello di compatibilità dei certificati Symantec con i browser?

I certificati Symantec sono compatibili con tutti i browser realizzati a partire dal 1995.
Essendo VeriSign, divenuta poi Symantec, l'Autorità di Certificazione da più tempo presente sul mercato, la compatibilità dei suoi certificati con i browser è notevolmente più ampia rispetto a quella di qualsiasi altra CA.

Come fanno i certificati SSL ad abilitare l'e-commerce autenticato e protetto in Rete?

Con l'installazione di un certificato SSL su un sito web viene abilitato l'uso del protocollo TLS/SSL.
Quando un browser si connette via "https" a un sito web su cui è stato installato un certificato SSL, browser e server si scambiano delle informazioni durante quello che viene chiamato SSL handshake.
Una volta che la connessione TLS/SSL è stata stabilita, tutte le informazioni che transitano dal browser al server, e viceversa, risultano cifrate.

Cos'è una Certificate Revocation List (CRL)?

Una Certificate Revocation List (CRL) è un elenco di certificati digitali che sono stati revocati prima della loro scadenza. Ci sono diversi motivi per cui un certificato deve essere revocato e inserito in una CRL. Ad esempio la chiave privata può essersi corrotta.

Le CRL sono curate direttamente dalle Autorità di Certificazione e forniscono informazioni sui certificati revocati rilasciati dalle Autorità di Certificazione stesse. Le CRL in genere non elencano i certificati scaduti; quindi i certificati revocati e nel frattempo anche scaduti vengono rimossi dalla CRL. Nonostante le CRL vengano distribuite, esistono anche delle Central Repositories delle CRL, vale a dire siti che contengono le CRL più aggiornate della maggior parte delle Autorità di Certificazione.

Cos'è l'Online Certificate Status Protocol (OCSP)?

L'OCSP (Online Certificate Status Protocol) è un protocollo che fa parte dello standard X.509 e permette di verificare la validità di un certificato digitale senza dover ricorrere alle liste di revoca. Esso ha infatti sostituito il precedente protocollo CRL (Certificate Revocation List), presentando notevoli vantaggi rispetto a quest'ultimo.

L'architettura del protocollo OCSP è di tipo client-server: da un lato ci sono i vari client che effettuano le richieste (OCSP requests) per controllare la validità dei certificati, mentre dall'altro c'è il server (responder) che cerca di soddisfarle inviando messaggi di validità (valido, revocato o sconosciuto).

L'Online Certificate Status Protocol è lo standard emergente dell'IETF (Internet Engineering ask Force), destinato al controllo della validità dei certificati digitali nel corso di una determinata transazione. Esso permette infatti di condurre le verifiche in tempo reale, consentendo un notevole risparmio di tempo e di denaro e fornendo alle attività di e-business un sistema più rapido, semplice e affidabile rispetto a quello offerto dal tradizionale scaricamento ed elaborazione delle CRL.

I principali vantaggi del protocollo OSCP rispetto al CRL sono:

  • l'eliminazione della necessità per i client di scaricare e analizzare le liste di revoca;
  • il migliore utilizzo della banda, dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL;
  • il supporto di una catena fidata di OCSP richiesta tra i vari responder: questo permette ai client di comunicare con un responder fidato per interrogare un altro responder.
In breve il protocollo OCSP è notevolmente più efficiente delle CRL.

CERTIFICATI SSL SERVER

Cosa è necessario per il completamento di un ordine online?

Subito dopo il completamento della procedura di registrazione e acquisto online, una volta verificato l'avvenuto pagamento, inizieranno le procedure di validazione e autenticazione dei dati immessi.

Tali procedure si articolano nei punti di seguito descritti.

  1. Viene verificata, in primo luogo, l’identità dell’azienda od organizzazione che richiede il certificato. Tale verifica viene condotta attraverso la consultazione del database di infoimprese (www.infoimprese.it), per le società che vi sono iscritte, e di quello di Dun & Bradstreet (www.dnb.it), per le società od organizzazioni in possesso di un numero DUNS.
    In base alle procedure di validazione comuni a tutte le affiliate Symantec quanto inserito nel campo Organization, durante la generazione del CSR, deve corrispondere esattamente alla ragione sociale riportata nel database di infoimprese o in quello di Dun & Bradstreet. Nel caso in cui non vi sia corrispondenza (perché, per esempio, la ragione sociale della società è stata abbreviata) gli operatori si vedranno costretti a respingere la richiesta di certificato.

  2. La verifica successiva riguarda la registrazione del dominio riportato nel Common Name; per eseguirla vengono consultati i database WHOIS.
    La società od organizzazione alla quale è intestata la registrazione del dominio deve essere la stessa che richiede il certificato. In caso contrario gli operatori invieranno, via email, una Lettera di Autorizzazione per il Dominio, cioè un documento (accompagnato dalle indicazioni per la sua compilazione) con il quale il titolare del dominio concede a chi sta richiedendo il certificato il diritto di utilizzare il dominio stesso. Qualora il dominio fosse intestato a una società od organizzazione non più esistente, o la cui denominazione è errata verrà richiesto l'aggiornamento del dominio.

  3. Viene infine verificato, telefonicamente, che la persona indicata come Contatto Organizzativo, durante la procedura di registrazione, sia effettivamente un dipendente dell’azienda che richiede il certificato, conosca i dettagli della richiesta e confermi che la persona indicata come Contatto Tecnico sia autorizzata a ricevere e a installare il certificato stesso. Un operatore dovrà poter raggiungere il Contatto Organizzativo attraverso il numero telefonico intestato all’azienda richiedente. Tale numero deve essere reperibile attraverso una terza parte affidabile e ufficiale (infoimprese, Dun & Bradstreet, elenchi telefonici pubblici delle compagnie telefoniche). Non potranno essere utilizzati numeri telefonici interni, numeri telefonici intestati a società diverse da quella che richiede il certificato o numeri di cellulare, salvo che non si tratti di cellulari aziendali i cui numeri compaiano sulla bolletta o fattura telefonica intestata all’azienda stessa. Per i motivi sopra indicati ribadiamo il consiglio di designare come Contatto Organizzativo una persona facilmente raggiungibile attraverso il centralino dell’azienda.
Per maggiori informazioni è possibile scaricare(*) la nostra Guida alla registrazione per l'acquisto online di un certificato digitale per server .

(*) Per procedere al download gratuito delle nostre guide è richiesta la compilazione di un breve modulo.

Quanto tempo è necessario per il rilascio di un certificato?

Una volta iniziate le procedure di validazione e autenticazione, il rilascio di un certificato SSL per server richiede dai 5 ai 7 giorni lavorativi di tempo per i prodotti Secure Site, Secure Site Pro e Secure Site WildCard.

Per i prodotti Secure Site with EV e Secure Site Pro with EV richiede, invece, circa 15 giorni lavorativi di tempo, sempre dall'inizio delle procedure di validazione e autenticazione.

Il certificato richiesto sarà inviato, via email, all’account del Contatto Tecnico.

Che beneficio ricavano i clienti dall'autenticazione dell'identità di un'organizzazione?

La verifica dell'identità dell'organizzazione richiedente è un elemento di fondamentale importanza per il rilascio di un certificato.

Quando un utente o un cliente si collega a un sito certificato da Symentec ha la certezza, infatti, non solo di trovarsi in un sito protetto ma anche che l'organizzazione titolare è regolarmente autorizzata a esercitare quell'attività.

Crittografia con chiave di sessione minima a 40 bit oppure a 128 bit?

I certificati SSL offrono diverse garanzie a utenti e clienti di un sito web.
La cifratura delle informazioni è uno di questi e protegge tutti i dati confidenziali scambiati tra utenti (o clienti) e sito web, rendendone inutile l'intercettazione da parte di terzi e, di fatto, impossibile la modifica.

A livello di sicurezza c'è indubbiamente differenza tra un certificato SSL con chiave di sessione minima negoziata a 40 bit e uno a 128 bit, la più potente attualmente disponibile sul mercato!

Si parla infatti, nel primo caso, di crittografia standard, un livello consigliabile per proteggere informazioni riservate ma con un grado di confidenzialità non particolarmente elevato, come per esempio form di prenotazione richiedenti nulla più che dati anagrafici.
Ciò perché un hacker che abbia sufficienti motivazioni, tempo, capacità e strumenti idonei a sua disposizione potrebbe riuscire a decifrare, in un ragionevole lasso di tempo, informazioni crittografate a 40 bit.

Diversamente è stato calcolato che per violare un certificato con crittografia a chiave di sessione minima a 128 bit, nota come crittografia forte, un hacker impiegherebbe milioni di anni!
La potenza della crittografia forte è infatti superiore di oltre un trilione di volte rispetto a quella standard.

Cos'è il CSR?

Il primo passo da compiere, per richiedere un certificato digitale per server, è generare un CSR.
L’acronimo CSR significa Certificate Signing Request, cioè Richiesta di Firma di Certificato.

Il CSR deve essere generato sul server sul quale è ospitato il sito web che si intende certificare, utilizzando il software che il server stesso mette a disposizione.

Il CSR va generato a 2048 bit per i prodotti EV (Extended Validation) e comunque per tutti quelli per i quali è richiesta una durata superiore a un anno. Si può generare a 1024 bit per i prodotti non EV con durata di un anno.

Durante la procedura di generazione del CSR ha luogo anche la creazione della coppia di chiavi crittografiche, cioè della chiave pubblica e della chiave privata.

Una volta creata la coppia di chiavi, la chiave pubblica viene inclusa nel CSR mentre quella privata rimane sul server.

La chiave pubblica, inclusa nel CSR, viene inviata, attraverso le procedure di registrazione del sito di Trust Italia Spa, a VeriSign che provvede a firmarla con la propria chiave privata e a reinviarla, infine, sotto forma di certificato digitale.

E’ per questo motivo che il CSR e la coppia di chiavi (che, ricordiamo, è sempre univoca) devono essere generati sulla stessa macchina sulla quale il certificato verrà installato. Infatti il certificato, cioè la chiave pubblica firmata da VeriSign, dovrà essere installato in corrispondenza della rispettiva chiave privata. Nel caso in cui ciò non avvenga, la procedura di installazione del certificato non potrà in nessun caso andare a buon fine.

Per maggiori informazioni è possibile scaricare(*) la nostra Guida alla registrazione per l'acquisto online di un certificato digitale per server .

(*) Per procedere al download gratuito delle nostre guide è richiesta la compilazione di un breve modulo.

Cos'è il Common Name?

Il Common Name, ovvero il Fully Qualified Domain Name (FQDN), di un sito è composto dal nome del dominio (per esempio trustitalia.it, verisign.com, cariplo.it) più il nome dell'host (per esempio www, digitalid, trading).

Esempi di Common Name sono, dunque, www.trustitalia.it, digitalid.verisign.com, trading.miabanca.it, secure.rsasecurity.com.

In un Common name non possono essere usati i seguenti caratteri speciali: ! @ $ & * ) ( _ # : " > ? '.
Non possono essere altresì usati indirizzi IP (per esempio 192.168.2.52), né numeri di porta (come per esempio 80 o 443), né http:// o https://.

Nel caso in cui si desideri certificare una intranet il Common Name potrà essere composto da una sola parola, come per esempio il nome del server o localhost.

E’ importante ricordare che i certificati digitali sono, in ogni caso, specifici rispetto al Common Name per il quale vengono richiesti e rilasciati: anche nel caso di una intranet, pertanto, nel campo Common Name va specificato l’URL che gli utenti dovranno digitare per accedere alla intranet stessa.

E' possibile modificare l'indirizzo IP del proprio sito web?

I certificati digitali non sono legati all'indirizzo IP ma bensì al Common Name (FQDN).

Modificando l'indirizzo IP associato al FQDN il certificato continuerà a funzionare regolarmente.
E’ evidente la necessità di effettuare sul server tutte le modifiche di configurazione necessarie per utilizzare il nuovo indirizzo IP.
L’accesso in https al sito sarà, naturalmente, legato ai tempi tecnici di aggiornamento del DNS.

E' possibile modificare il Common Name di un certificato entro 30 giorni dal rilascio?

E' possibile effettuare una sostituzione con modifica dati del certificato.
Tale operazione, se effettuata entro 30 giorni dalla data di rilascio, è gratuita .

Cosa significa Server Gated Cryptography (SGC) o Aggiornamento a 128 bit?

Prima del gennaio del 2000 la legge americana impediva l'esportazione della cosiddetta crittografia forte.
Di conseguenza venivano venduti molti computer con sistemi operativi e browser che supportavano solo la crittografia standard, cioè a 40 oppure a 56 bit.

La Server Gated Cryptography (SGC) è stata sviluppata per abilitare tutti i computer a connettersi a 128 bit: in assenza di un certificato con tecnologia SGC i browser e i sistemi operativi che non supportano la connessione a 128 bit possono connettersi solo a 40 o 56 bit.

I browser interessati dall'SGC sono Internet Explorer, nelle sue versioni dalla 3.02 alla 5.5, e Netscape, nelle sue versioni dalla 4.02 alla 4.72

I sistemi operativi interessati, invece, sono quelli Windows, 2000 rilasciati prima del marzo 2001, su cui non sia stato installato il Service Pack 2 e che utilizzano le versioni summenzionate di Internet Explorer.

E' possibile proteggere più server con un unico certificato?

Il contratto che viene sottoscritto con Trust Italia e con Symantec, nel momento in cui si acquista un certificato digitale, prevede espressamente il divieto di utilizzare lo stesso su più di un server fisico.

Ciò infatti, oltre a non essere conforme alle policy Symantec, è assolutamente poco raccomandabile dal punto di vista della sicurezza.

Del resto, quando le chiavi private sono spostate da un server all'altro, attraverso CD o anche via rete, la sicurezza diminuisce e i controlli diventano più difficili da compiere. Condividendo uno stesso certificato su due o più server, le aziende non fanno che esporsi a rischi enormi e a complicare il controllo degli accessi a una chiave privata nel caso di danno subito da un server.

Inoltre, in tutti i casi di seguito elencati è fortemente raccomandata l'utilizzazione di un certificato diverso per ogni combinazione server/fully qualified domain name:

  • server di backup (clustering);
  • server multipli che supportano siti multipli (virtual server);
  • server multipli che supportano un solo sito (load balancing o round robin);
  • virtual hosting o shared hosting.

E' possibile provare un certificato SSL prima di acquistarlo?

Si, prima di decidere per l'acquisto di un certificato digitale Symantec, è possibile verificarne le funzionalità, la compatibilità con le piattaforme e le configurazioni utilizzate, scaricando immediatamente una versione trial .

Il certificato di prova è a 40 bit, ha validità 14 giorni, ed è assolutamente gratuito.

Come posso trasferire un certificato da un server ad un altro?

L'operazione di trasferimento di un certificato da un server all’altro differisce a seconda dei tipi di server coinvolti.

Il consiglio è quello di fare sempre riferimento alle istruzioni fornite direttamente dal produttore del server per procedere all'esportazione e all'importazione di un certificato.

Il principio di base è comunque quello di effettuare una copia del certificato comprensiva della chiave privata e importarla sul server di destinazione.

Di norma si tratta di un'operazione che comporta una bassa percentuale di rischio quando il produttore dei due server è lo stesso: il passaggio a una versione più recente dello stesso server, in genere, non crea alcun problema, pur essendo sempre preferibile chiederne conferma al produttore.

Nel caso in cui si dovesse trasferire il certificato tra server incompatibili tra loro è necessario revocare il certificato stesso e sostituirlo con uno compatibile con il nuovo server.

Ho perso la chiave privata del mio certificato, cosa devo fare?

I certificati digitali per server fanno uso di una tecnologia denominata crittografia asimmetrica o a chiave pubblica.

Il primo passo da compiere, per richiedere un certificato digitale per server, è generare un CSR.
Nel corso di tale procedura ha luogo, fra l'altro, la creazione della coppia di chiavi crittografiche: la chiave pubblica viene inclusa nel CSR mentre quella privata rimane sul server.

La chiave pubblica, inclusa nel CSR, viene inviata, attraverso le procedure di registrazione del sito di Trust Italia Spa, a VeriSign che provvede a firmarla con la propria chiave privata e a reinviarla, infine, sotto forma di certificato digitale.

Né Trust Italia né VeriSign entrano mai in possesso, né hanno in alcun modo mai accesso alla vostra chiave privata: essa viene, come detto, generata sul vostro server e non viene mai trasmessa ad alcuno.

L'integrità del vostro certificato dipende dalla cura con cui custodite la vostra chiave privata: in caso di smarrimento della chiave privata è, pertanto, necessario sostituire il certificato.

Di quanti certificati ho bisogno nel caso in cui io abbia più di un server?

La licenza di un certificato digitale è valida per un solo server.

Nel caso in cui si debba utilizzare il certificato su più di un server è necessario acquistare un numero di licenze pari al numero di server.

Perché sono stati creati i certificati SSL con Extended Validation?

I certificati SSL con Extended Validation sono stati creati in risposta alla sempre più crescente esigenza di affidabilità dei siti web da parte degli utenti di Internet.

Tali certificati permettono infatti all'utente di stabilire, già a colpo d'occhio, che il sito a cui egli sta accedendo è sicuro: ciò grazie alla semplice visualizzazione della barra dell'indirizzo che risulterà colorata di verde in tutti i principali browser di ultima generazione.

In particolare un certificato SSL Symantec con Extended Validation pone in evidenza con chiarezza:

  • l'autenticazione del dominio, e del sito a esso corrispondente, al quale l'utente si collega;
  • l'identità dell'azienda o dell'organizzazione che tramite quel dominio e quel sito eroga un determinato servizio;
  • la Certification Authority (CA) utilizzata: nel nostro caso VeriSign, la leader mondiale delle CA!

Cos'è un browser sicuro?

I browser web sviluppati per riconoscere i certificati con Eextended Validation (EV) sono considerati sicuri.
Essi sono realizzati in modo tale da essere in grado di visualizzare in maniera inconfondibile un certificato con EV.

In cosa consiste lo standard Extended Validation?

Nel 2006 le principali autorità di certificazione (CA) mondiali e i maggiori sviluppatori e distributori di browser hanno approvato unanimemente, attraverso il CA/Browser Forum, le pratiche standard per la validazione dei certificati.

Per rilasciare un certificato SSL conforme allo standard Extended Validation (EV) la CA deve adottare le policy stabilite e superare un Webtrust audit.

Il processo di validazione prevede che la CA autentichi l'organization name (ragione sociale) della organizzazione che richiede il certificato e la proprietà del dominio per il quale tale certificato viene richiesto.

Come per i certificati digitali non EV, anche in questo caso, le procedure di validazione si concludono con la telefonata di verifica effettuata al contatto organizzativo.

Perché un certificato con Extended Validation genera una maggiore fiducia nell'utente?

Il grande utilizzo di Internet e i frequenti casi di truffe online hanno reso gli utenti sempre più consapevoli dei rischi di una mancata protezione della loro identità durante la navigazione.

Prima di inserire dati sensibili la maggior parte degli utenti pretende, oggi, la prova dell'affidabilità del sito web e la cifratura delle informazioni scambiate.
In assenza di tali garanzie gli utenti sono sempre più propensi ad abbandonare qualsiasi transazione in corso.

I certificati con Extended Validation offrono la verifica di una terza parte affidabile con un'evidenza visiva immediata e capace di trasmettere agli utenti sicurezza e fiducia.

Quali sono i benefici dei certificati con Extended Validation per i proprietari dei siti?

Un certificato con Extended Validation è sicuramente il miglior biglietto da visita possibile da offrire ai propriclienti se volete dare una garanzia di affidabilità.

Grazie alla visibilità immediata del livello di sicurezza del sito è possibile acquisire anche un vantaggio competitivo nei confronti della propria concorrenza.

Quali soggetti possono ottenere un certificato con Extended Validation?

Il CA/Browser Forum ha definito che i soggetti giuridici che possono ottenere un certificato con Extended Validation sono:
  • gli enti statali;
  • tutte le società di capitali, regolarmente registrate al momento della richiesta del certificato, che esercitano un attività legale.

E' possibile rinnovare un certificato SSL aggiungendo l'Extended Validation?

Si, quando avviate il rinnovo di un certificato SSL cercate l'opzione per effettuare l'upgrade all'Extended Validation (EV).

A causa degli step aggiuntivi del processo di verifica, l'enrollment potrebbe richiedere più tempo rispetto ai certificati tradizionali.

Gli account MPKI, inoltre, devono essere abilitati all'emissione di certificati SSL prima di convertire i certificati all'EV.

Perché un browser Internet Explorer 7 può non riconoscere un Extended Validation?

Un browser identifica un certificato SSL come autentico verificando se al certificato stesso è associata una root valida residente nel client. VeriSign firma ogni certificato EV con due roots: una root EV ed una tradizionale. Con due roots ogni browser potrà identificare una root valida, anche i browser più datati che non possono riconoscere gli EV. IE7 è realizzato in maniera tale da poter riconoscere i certificati EV, tuttavia può capitare che con Windows XP questi non vengano correttamente visualizzati perché il client cerca il match con la root normale anziché con la root EV. Infatti i sistemi Windows XP non aggiornano automaticamente lo store delle root. Sviluppato prima del rilascio dei certificati EV, Windows XP non ha embedded la root EV, a meno che non sia stata aggiornata manualmente. La tecnologia VeriSign EV Upgrader, presente direttamente all'interno del Sigillo Sito Sicuro, consentirà questo aggiornamento manuale. IE7 su Vista invece è progettato per aggiornare automaticamente lo store delle root ogni settimana e quindi dovrebbe sempre essere in grado di riconoscere un certificato EV e visualizzarlo correttamente.

Come fa il VeriSign EV Upgrader a consentire a tutti i browser di riconoscere gli Extended Validation?

La tecnologia VeriSign EV Upgrader è implementata direttamente nel Sigillo Sito Sicuro. La prima volta che un browser Internet Explorer 7 su Windows XP visita un sito web su cui è installato un certificato EV e il relativo Sigillo, il client contatterà un servizio Microsoft di root store ed installerà la root EV. Una volta che anche la root EV è nello store il browser potrà verificare i certificati VeriSign con EV su qualsiasi sito web e mostrare la barra verde e l'organization name. L'aggiornamento avviene in background e senza alcun impatto sull'utente.

MANAGED PKI PER SSL

Cos'è il servizio Symantec VeriSign Managed PKI for SSL?

Nelle situazioni in cui ci sia necessità di gestire grandi quantità di server, Trust Italia può risolvere i problemi legati alla richiesta ed installazione dei certificati multipli attraverso il servizio Symantec VeriSign Managed PKI for SSL.

Tale servizio consente alle aziende più grandi di gestire l'intero ciclo di vita dei propri certificati utilizzando direttamente la tecnologia e le infrastrutture di Symantec. Il servizio Managed PKI for SSL vi permette di risparmiare tempo e denaro offrendovi tutti gli strumenti per personalizzare l'enrollment, la validazione ed il rilascio dei certificati. Vi basterà individuare una o più persone all'interno della vostra azienda che possano ricoprire il ruolo di Amministratore del Servizio. Questa persona avrà la possibilità di approvare, rinnovare, respingere ed amministrare i certificati. I vostri utenti finali interagiranno con i form di enrollment personalizzati per richiedere i certificati da installare sui propri server. Quando l'Amministratore approva una richiesta, Symantec rilascia immediatamente il certificato richiesto, risparmiando così alla vostra azienda i 3-5 giorni lavorativi normalmente richiesti per elaborare le richieste di certificato.

Un vantaggio fondamentale del servizio Managed PKI for SSL è che questo offre la possibilità di controllare completamente il ciclo di vita dei certificati: l'amministratore può infatti approvare, respingere e revocare i certificati direttamente dal Control Center fornito da Symantec. Il servizio inoltre, non richiede l'installazione di software né hardware particolari che produrrebbero solo l'effetto di rendere più complicata e farraginosa la gestione dei certificati.

Qual è la differenza tra il servizio Managed PKI for SSL e i certificati singoli?

MPKI for SSLSingoli
Scalabile: Si rivolge alle imprese che hanno bisogno di proteggere 5 o più server. I certificati possono essere rilasciati a più domini.I certificati vengono acquistati singolarmente
Risparmio: Da un punto di vista economico è senz'altro più conveniente acquistare pacchetti di certificati.Non sono previsti sconti
Risparmio di tempo: I processi di autenticazione di Symantec sono condotti una sola volta. Dopo l'attivazione del servizio i singoli certificati possono essere richiesti e rilasciati nel giro di pochi minuti Ogni richiesta di certificato deve essere validata dagli operatori adetti all’autenticazione e validazione, che impiegheranno 3-5 giorni lavorativi per giungere al rilascio del certificato
Flessibile: E' possibile rilasciare certificati annuali, biennali, triennali e quadriennali. E' possibile inoltre gestire diverse tipologie di certificati ed aggiungere altre unità e domini anche dopo l'attivazione del servizioNon hanno Web GUI per gestire i certificati
Gestione centralizzata: Un'interfaccia web sicura e semplice per rilasciare e revocare i certificati, e per generare i report Non hanno Web GUI per gestire i certificati

Cosa è compreso nell'account di una Managed PKI for SSL?

1. Control Center – Strumento attraverso il quale è possibile condurre le operazioni di amministrazione e controllo in maniera centralizzata. Attraverso il Control Center potrete: approvare o respingere le richieste di certificato in pochi minuti; accedere a report specializzati per avere maggiori informazioni sul ciclo di vita dei certificati; usufruire di un sistema di email alert; scaricare la CRL (Certificate Revocation List).

2. Servizi per l'utente - "Subscriber Services"
o Possibilità di demandare la gestione del ciclo di vita dei certificati agli utenti attraverso il vostro network
o Possibilità di richiedere, rinnovare, revocare e cercare i certificati
o Schermate dell'enrollment e del resto della gestione personalizzabili
o Protezione SSL

3. Certificati SSL - Il servizio MPKI for SSL vi permetterà di gestire pacchetti di diverse tipologie di certificati
o Standard Edition: Pacchetti di unità a 40 bit.
o Premium Edition: Pacchetti di unità a 128 bit.
o Standard EV SSL : Pacchetti di unità a 40 bit con Extended Validation
o Premium EV SSL: : Pacchetti di unità a 128 bit con Extnded Validation

4. Possibilità di gestire i Subject Alternative Name: Il servizio MPKI for SSL permette di attivare dei certificati dove all’interno sono stati valorizzati i Subject Alternative Name (SAN). E’ possibile valorizzare fino ad un massimo di 20 SAN per una singola emissione. Per ogni SAN valorizzato verrà scalata una unità del pacchetto di certificati attivo. In merito alle caratteristiche tecniche, è necessario che il produttore del server software confermi la compatibilità con l’utilizzo dei SAN.

5. Compatibilità con i browser garantita: I certificati SSL Symantec sono compatibili con tutti i browser distribuiti a partire dal 1995.

6. Sigillo Sito Sicuro: Il Sigillo Sito Sicuro di Symantec, compreso in ogni servizio Managed PKI for SSL, è un marchio registrato che potrete esporre nel vostro sito certificato. Il Sigillo ha lo scopo di dare ai vostri utenti un'ulteriore garanzia del fatto che si stanno connettendo ad un sito sicuro.

7. Autenticazione: L'identità di ogni Amministratore viene autenticata dagli operatori adetti all’autenticazione e validazione prima dell'attivazione del servizio. Le procedure di Validazione di Symantec sono estremamente rigorose e vengono ripetute ogni anno.

8. Servizio Clienti: Potrete avvalervi della competenza e professionalità degli operatori del Servizio Clienti di Trust Italia per ogni dubbio o richiesta di informazioni. Potrete contattare telefonicamente il nostro Servizio Clienti al numero 0744.545921.2 dal Lunedì al Venerdì nelle fasce orarie 9.00-13.00 e 14.00-18.00, oppure via email scrivendo all'indirizzo supporto@trustitalia.it

Quali sono gli elementi ed i vantaggi del servizio Managed PKI for SSL?

Elementi chiave

Controllo locale – In qualità di amministratore avete la possibilità di decidere per quali server rilasciare i certificati.

Strumenti amministrativi e report facili da usare – Avete un accesso agevole ad una grande serie di strumenti per controllare e gestire il vostro servizio Managed PKI for SSL. Inoltre, potete in qualsiasi momento generare dei report in modo da tenere sotto controllo nel dettaglio il ciclo di vita dei certificati.

Tempi di risposta brevissimi – I vostri certificati saranno rilasciati immediatamente alla vostra approvazione.

Possibilità di aggiungere e rinnovare i certificati – Grazie a tutti gli strumenti elencati fin qui – controllo locale, strumenti di controllo, tempi di risposta - gestire anche grandi quantità di certificati sarà facilissimo. E' possibile anche prevedere l'aggiunta, il rinnovo o la revoca dei certificati sulla base dei tempi che necessitano alla vostra azienda.

Ampia infrastruttura – Il back end del servizio Managed PKI for SSL è fornito da Symantec. Nel costo del servizio sono compresi anche il backup offsite ed il disaster recovery. Realizzare un tale livello di supporto all'interno della vostra azienda sarebbe costosissimo.

Adattabilità alla vostra struttura organizzativa – E' possibile personalizzare le informazioni necessarie per richiedere, rinnovare o revocare un certificato. E' possibile avere più amministratori per un unico servizio. Gli amministratori hanno ampio controllo su una serie di domini, o possono essere limitati a gestire solo alcuni specifici domini. In altre parole, avete la più ampia libertà di adeguare le funzioni del servizio Managed PKI for SSL, alle esigenze reali della vostra azienda. Inoltre è possibile aggiungere delle Organization al servizio, a patto che esse abbiano un legame societario con l’azienda che ha attivato l’MPKI for SSL, cioè facciano parte della stessa holding. In questo modo potrete gestire con un unico servizio anche i certificati intestati ad altre società.

Vantaggi

Rilascio dei certificati subito dopo la richiesta: In qualità di Amministratore del Managed PKI for SSL, potete sfruttare il vantaggio di rilasciare i certificati entro pochi minuti dalla richiesta. Symantec si occupa di mantenere l'infrastruttura di back-end, compresi server di elevata potenza, linee di telecomunicazione, memorizzazione e back up dei dati, disaster recovery e servizio clienti.

Gestione efficiente dei certificati: Attraverso un'unica interfaccia potete rilasciare certificati per più server, rinnovarli facilmente e comprarne di aggiuntivi altrettanto facilmente.

Risparmio di denaro: Con il servizio Managed PKI for SSL, non c'è bisogno di investire in costosi hardware, software o altri strumenti necessari per realizzare e mantenere un sistema di certificati per server.

Acquisto del pacchetto di certificati in una sola semplice fase: Il servizio Managed PKI for SSL può essere acquistato attraverso un unico processo di enrollment. Dovrete registrarvi solo una volta all'anno per richiedere più certificati SSL.

Set up e configurazione facili: Inizierete a rilasciare i certificati rapidamente e li potrete gestire con estrema rapidità grazie all’interfaccia del Control Center, estremamente intuitiva. Tutto ciò di cui avete bisogno è un browser e, naturalmente, una connessione ad Internet. Symantec vi fornirà l'hardware crittografico, le procedure di configurazione, i template per l'enrollment e le guide per l'installazione.

Come si acquista un servizio Managed PKI for SSL?

Per acquistare un servizio Managed PKI for SSL potete recarvi a questa pagina

Per ulteriori informazioni riguardo prezzi ed offerte, potete contattare il Telesales Department di Trust Italia al numero 0744.54591 (opzione 1) o all'indirizzo email telesales@trustitalia.it.

Ho necessità di installare 5 certificati biennali. Quante unità devo acquistare?

Il servizio Symantec Managed PKI for SSL vi offre la possibilità di rilasciare certificati con durata annuale, biennale, triennale e quadriennale. L'emissione di tali certificati è possibile selezionando, all'interno del Control Center di gestione del servizio, nelle pagine di richiesta dei singoli certificati, la durata annuale, biennale, triennale e quadriennale. A seconda della validità che selezionerete vi verrà scalato dal servizio un corrispondente numero di unità. In altre parole, selezionando la modalità biennale o triennale, dal servizio verranno scalate rispettivamente N. 2 o 3 unità. Dunque, ad esempio, laddove ci sia la necessità di rilasciare 5 certificati biennali, dovrete acquistare un pacchetto da 10 unità.

Come si usa il servizio Managed PKI for SSL per approvare, respingere o revocare una richiesta di certificato?

Gli amministratori del Managed PKI for SSL hanno accesso ad una serie speciale di pagine web attraverso le quali potranno amministrare i certificati. Da queste pagine gli Amministratori potranno controllare l'autenticazione, approvazione, revoca dei certificati, oltre a generare dei report relativi all'attività svolta con i loro certificati amministratore.

Cosa occorre per utilizzare il servizio Managed PKI for SSL?

Le uniche cose di cui la vostra azienda necessita per poter utilizzare un servizio MPKI for SSL sono un browser ed una connessione ad Internet. Symantec si occupa di fornirvi tutti gli altri strumenti di cui avrete bisogno per poter gestire il servizio. Tutti questi strumenti saranno forniti sempre via web in modalità protetta.

Di che classe sono i certificati d'Amministratore ed i certificati server rilasciati all'interno del servizio?

I certificati d'Amministratore sono certificati individuali di Classe 3, come anche i certificati per server emessi dall'Amministratore, che sono sempre di Classe 3.

Come possono gli utenti effettuare un enrollment per richiedere un certificato?

1. L'utente genera un CSR (Certificate Signing Request)

2. Successivamente effettua l'enrollment utilizzando il link che gli avrà indicato l'amministratore del servizio

3. Una richiesta pendente compare nel Control Center del servizio Managed PKI for SSL

4. L'amministratore autentica l'utente e valida la sua richiesta di certificato

5. Symantec firma il CSR ed invia il certificato così creato all'indirizzo email dell'utente

6. L'utente riceve il certificato via email ed lo installa sul server dove ha creato la richiesta.

P.S. Al’’interno del servizio MPKI for SSL, tra i Servizi per l'utente, esiste il percorso per cui è possibile scaricare direttamente dal sito, in modalità protetta, il certificato. Tale opzione vi permetterà di prelevare il certificato subito dopo il rilascio senza attendere i tempi di recapito dell’email di approvazione.

CERTIFICATI CODE SIGNING

Cos'è la firma del codice e perché è necessaria?

Quando i clienti scaricano applicazioni online, installano plug-in e componenti aggiuntivi o interagiscono con sofisticate applicazioni Web, devono avere la certezza che il codice sia autentico e che non sia stato infettato o alterato.

Nelle tradizionali vendite di software un acquirente è in grado di verificare l'origine dell'applicazione e la sua integrità esaminando la confezione, cosa che non è evidentemente possibile quando l'applicazione acquistata viene scaricata attraverso la Rete.
La firma del codice crea però una sorta di contenitore digitale che indica ai clienti l'identità dell'organizzazione o della persona responsabile del codice e conferma che questo non è stato modificato dal momento in cui è stata applicata la firma.

Symantec Code Signing protegge il marchio e la proprietà intellettuale applicando una Firma Digitale per rendere le applicazioni identificabili e più difficili da falsificare o danneggiare.

Quale certificato di firma del codice è necessario?

Symantec Code Signing supporta diverse Piattaforme di firma del codice, tra le quali:

  • Microsoft Authenticode,
  • Java,
  • Microsoft Office e VBA,
  • Adobe AIR.
Seleziona il certificato Symantec Code Signing appropriato per la tua piattaforma di sviluppo.

I certificati di firma del codice sono disponibili per singoli sviluppatori?

Sì, per gli sviluppatori individuali, che non sono affiliati a un'azienda, è previsto un processo di approvazione leggermente differente ma non meno rigoroso.

Per richiedere un certificato Symantec Code Signing a Titolo Individuale contattare il nostro Dipartimento Commerciale.

Come funziona un certificato di firma del codice?

La firma del codice e del contenuto è basata sulla crittografia a chiave pubblica.

Gli sviluppatori e gli editori di software utilizzano quindi una chiave privata per aggiungere una firma digitale ai propri codici o ai propri contenuti. Le piattaforme software e le applicazioni utilizzano, conseguentemente, una chiave pubblica per decifrare la firma durante il download e confrontano poi l'hash utilizzato per firmare il codice con quello dell'applicazione scaricata.

Il codice firmato da uno sviluppatore attendibile potrà essere accettato automaticamente oppure sarà possibile visualizzare le informazioni sulla firma e decidere, di conseguenza, se accettarlo o meno.

Che accade in caso di smarrimento o compromissione della mia chiave privata?

Se la chiave privata viene perduta o compromessa o se le informazioni vengono modificate, è necessario revocare immediatamente il certificato di firma del codice e sostituirlo con uno nuovo.

Quanto tempo è necessario per acquistare un certificato di firma del codice?

Durante la di registrazione per l'acquisto di un certificato Code Signing Trust Italia raccoglierà le informazioni necessarie sulla vostra azienda.

Il processo di convalida può richiedere da alcune ore ad alcuni giorni, a seconda delle informazioni fornite e dalla facilità con la quale esse possono essere verificate.

La fornitura del certificato è subordinata all'effettiva ricezione, da parte di Trust Italia, del pagamento: il pagamento tramite carta di credito consente quindi un rilascio in tempi più brevi rispetto a quello tramite bonifico bancario.

Quanto dura una firma digitale apposta sul codice?

Ogni certificato di firma del codice viene acquistato con un periodo di validità associato. Durante il periodo di validità il certificato digitale può essere utilizzato senza limitazioni.

Quando il certificato digitale scade, tutte le firme digitali che dipendono dal certificato digitale scadono, a meno che la firma non includa l'indicazione di data e ora.

L'opzione di indicazione di data e ora specifica quando il codice è stato firmato, consentendo così di verificare, una volta scaduto, che il certificato era valido al momento dell'apposizione della firma.

Posso installare il certificato di firma del codice su più di un PC?

Un certificato di firma del codice deve essere acquistato e recuperato dallo stesso computer; una volta recuperato è possibile utilizzarlo anche su altri computer.

Trust Italia tuttavia consiglia agli sviluppatori, per motivi di sicurezza e di gestione, di acquistare certificati di firma del codice aggiuntivi, piuttosto che condividerli. Se un certificato viene compromesso e deve quindi essere revocato, tutte le applicazioni firmate con quel certificato verranno infatti disattivate.

In caso di problemi con il recupero del certificato, si verifichi di stare utilizzando lo stesso computer, browser e profilo di accesso utilizzati per la registrazione e l'acquisto.

In che modo gli altri sanno di poter considerare affidabile la mia firma?

La firma del codice ne assicura la provenienza e l'integrità.

Per determinare la validità della firma digitale sistemi software, applicazioni e reti di telefonia cellulare fanno affidamento sul certificato principale dall'Autorità di Certificazione emittente.

Un'Autorità di Certificazione di terze parti è chiaramente molto più attendibile di un certificato autofirmato poiché chi ha richiesto il certificato ha dovuto seguire un processo di verifica o autenticazione.

L'ubiquità del certificato principale di Symantec non ha rivali.
I certificati principali Symantec sono preinstallati sulla maggior parte dei dispositivi e sono incorporati nella maggior parte delle applicazioni, cosicché da creare un processo di installazione trasparente e sicuro per gli utenti finali.

Quanti certificati di firma del codice sono necessari?

Trust Italia consiglia agli sviluppatori, per motivi di sicurezza e di gestione, di acquistare certificati di firma del codice aggiuntivi, piuttosto che condividerli. Se un certificato viene compromesso e deve quindi essere revocato, tutte le applicazioni firmate con quel certificato verranno infatti disattivate.

È preferibile inoltre acquistare un certificato di firma del codice per ogni Piattaforma di sviluppo.
Per utilizzare un unico certificato su più piattaforme è necessario un processo di conversione con l'ausilio di utilità aggiuntive.

CERTIFICATI INDIVIDUALI

Cos'è un certificato digitale individuale?

Un certificato digitale è un file presente nel vostro computer che ha la funzione di identificarvi. Alcune applicazioni software fanno uso di questo file per provare la vostra identità ad un'altra persona o ad un altro computer. Esempi:

Quando accedete al vostro conto corrente online la vostra banca deve essere certa che siate proprio voi ad accedere ai vostri dati. Esattamente come una patente di guida o un passaporto, il certificato digitale garantisce la vostra identità presso la banca.

Quando inviate a qualcuno un'email importante, il vostro programma di posta può utilizzare un certificato digitale per firmare digitalmente la vostra email. In questo caso una firma digitale riveste due ruoli: in primo luogo dà al destinatario la certezza che l'email gli è stata inviata da voi, ed inoltre garantisce che il messaggio email non è stato alterato nell'arco di tempo trascorso tra l'invio e la ricezione.

In genere un certificato digitale contiene queste informazioni:

La vostra chiave pubblica

I vostri nome ed indirizzo email

La data di scadenza della chiave pubblica

Il nome dell'Autorità di Certificazione che ha rilasciato il vostro certificato

Il numero di serie del certificato

La firma digitale della CA

A cosa serve un certificato digitale?

Le applicazioni software, le reti ed i computer possono utilizzare un certificato digitale in diversi modi: Cifratura: è un modo per proteggere le informazioni prima di inviarleda un computer all'altro. In genere, per cifrare un’email, i programmi di postausano il certificato digitale che appartiene al destinatario. Perché voiriusciate ad inviare a qualcuno un messaggio cifrato, avete bisogno della suachiave pubblica. Questo significa che è possibile scambiare email cifrate solocon interlocutori a loro volta in possesso di un certificato digitale.

Autenticazione Client: è il modo in cui il 'client' può provare la propria identità a qualcun altro o ad un computer in formato digitale. Ad esempio, le banche online hanno bisogno di essere assolutamente certe che chi cerca di accedere ad un conto corrente sia realmente il titolare del conto stesso. In questo caso, per provare la vostra identità alla banca in genere presentate un documento di identità. Nel caso di una banca online la vostra applicazione software presenta al server della banca il vostro certificato digitale. Alcuni siti web, inoltre, possono richiedervi il vostro certificato digitale prima di farvi accedere alle proprie pagine riservate (ad esempio le pagine per iscriversi a particolari servizi web).

Firma digitale: come una firma autografa, il certificato digitale è la dimostrazione che una persona ha creato o quanto meno ha dato il proprio consenso alla creazione del documento che contiene la firma. Una firma digitale offre un maggior livello di sicurezza rispetto ad una firma autografa, dal momento che la firma digitale verifica sia che il messaggio firmato è stato creato da una persona ben individuabile, sia che il messaggio non è stato modificato né intenzionalmente né accidentalmente. Inoltre, se firmate un documento, non potete, in un secondo momento, negare di aver scritto e firmato quel messaggio (Non Ripudio).

I negozi virtuali, le banche elettroniche, ed altri servizi online stanno ormai diventando sempre più comuni. Tuttavia, la vostra diffidenza nei confronti dell'effettiva tutela della privacy e della sicurezza può impedirvi di godere dei benefici di questi nuovi mezzi nella vostra vita quotidiana. Un certificato digitale può essere utile a darvi le garanzie di cui avete bisogno.

Ancora, la società per cui lavorate potrebbe avere una rete che vi richiede di avere un certificato digitale da utilizzare con le applicazioni che impiegate normalmente per il vostro lavoro. Dal momento che userete questa tecnologia sul lavoro, dovrete imparare ad usare un certificato digitale rapidamente.

I certificati digitali sono usati dai siti web e dalle applicazioni di rete per cifrare i dati che transitano tra due o più computer. La cifratura è uno strumento potente, ma da sola non può costituire una protezione sufficiente per le vostre informazioni. La cifratura, infatti, non può in alcun modo provare la vostra identità, o l'identità di qualcuno che vi invia delle informazioni cifrate. Ad esempio un broker finanziario che opera online può avere un sito che cifra i dati inviati agli utenti attraverso le pagine web. Il suo sito può addirittura richiedervi di accedere con username e password. Tuttavia, questo genere di autenticazione è facilmente intercettabile, e non può essere ritenuto un modo sicuro per garantire l'identità di qualcuno. Senza misure di protezione aggiuntive, chiunque può sostituirsi a voi online e avere accesso alle vostre informazioni strettamente private (conto corrente online e altri dati).

I certificati digitali rappresentano una valida soluzione a questo problema, offrendo un mezzo elettronico per verificare la vostra identità. I certificati digitali infatti offrono una soluzione senz'altro più completa, garantendo l'identità di tutte le parti coinvolte in una transazione.

In virtù del modo in cui i certificati digitali funzionano, essi sono in grado di garantire, tra le altre cose, il cosiddetto Non Ripudio, che fondamentalmente impedisce a chi invia un messaggio firmato con un certificato di negare di averlo inviato. Ad esempio, quando usate la vostra carta di credito, dovete firmare una ricevuta che autorizza il pagamento con la vostra carta. Dal momento che la firma della ricevuta è obbligatoria, nelle transazioni non online potete dimostrare che qualcuno ha rubato o usato impropriamente la vostra carta di credito confrontando la vostra firma con la sua. Attraverso il Non Ripudio offerto dal certificato digitale, la vostra "autorizzazione" viene data automaticamente non appena inviate il vostro certificato digitale. Se qualcuno riuscisse ad impossessarsi illecitamente del vostro certificato, non potrebbe comunque usarlo, a meno che non entri in possesso anche delle relative password e chiave privata. Ecco perché è fondamentale che nessuno al di fuori di voi conosca la password da voi scelta.

Come si può ottenere un certificato digitale?

E' possibile ottenere un certificato digitale da un'Autorità di Certificazione (CA). Anche la vostra società od organizzazione può rilasciare certificati digitali attraverso un Digital ID Center.

Quando la vostra società vi rilascia un certificato digitale vi fornisce un mezzo per identificarvi presso altre persone della stessa società, presso i partner della società o presso gli altri computer del vostro network.

Se invece state per richiedere un certificato digitale per motivi personali, dovete considerare attentamente chi volete sia la vostra CA. Se dovete provare la vostra identità naturalmente desidererete che il certificato sia rilasciato da una CA che sia universalmente fidata e riconosciuta. Pensate ad esempio ad una carta di identità: chiunque accetta questo documento perché rilasciato da un'istituzione pubblica, attraverso procedure note a tutti. Allo stesso modo, un certificato digitale, per poter essere accettato da tutti (sul web) deve essere rilasciato da una CA che tutte le aziende che operano su Internet riconoscano come fidata.

Come si protegge un certificato digitale?

Esistono diversi modi per proteggere un certificato digitale:

Ricordate la vostra password e non comunicatela a nessun altro. Proteggete il vostro computer dagli accessi non autorizzati.

Usate il controllo degli accessi o altri strumenti di protezione del sistema.

Proteggete il vostro computer dai virus, che potrebbero essere in grado di attaccare una chiave privata.

La chiave privata può essere protetta in due modi:

Quando richiedete online un certificato digitale, il vostro browser crea una chiave privata che viene archiviata nell'hard drive del vostro computer, in modo che voi abbiate la possibilità di controllare l'accesso ad essa. Quando generate la chiave privata, il software che utilizzate (come ad esempio il browser) probabilmente vi chiederà una password, che ha lo scopo di proteggere l'accesso alla vostra chiave privata. Per gli utenti che usano Internet Explorer, la chiave privata è protetta dalla password di Windows.

Un estraneo può accedere alla vostra chiave privata solo accedendo al file in cui risiede la chiave stessa e conoscendo la password della chiave. Alcuni software vi permettono di scegliere di non avere una password per proteggere la chiave privata. Se scegliete di usare questa opzione vuol dire che siete certi che nessuno avrà mai accesso non autorizzato al vostro computer.

In generale, è molto più semplice ricorrere all'uso di una password che non abilitare altre misure di protezione nei confronti del vostro computer. Del resto, non usare una password significa rendere la vostra macchina accessibile a chiunque. Ricordate che siete voi ad avere la responsabilità di proteggere la vostra chiave privata. Chiunque ne entri in possesso sarà in grado di riprodurre la vostra firma e compiere ogni tipo di operazione a nome vostro.

Cos'è l'autenticazione client?

L'autenticazione client è il processo attraverso il quale un computer conferma la vostra identità. L'esempio seguente illustra il modo in cui un sito web può avvalersi dell'autenticazione client. Si badi bene tuttavia, che l'autenticazione client non si limita ai siti web. Altre applicazioni, come ad esempio le reti, possono ricorrere all’autenticazione client, ma il meccanismo rimane sempre fondamentalmente lo stesso.

Quando accedete ad un sito web che richiede un certificato digitale, il vostro browser presenta il vostro certificato al sito. Quest'ultimo quindi visualizza le informazioni contenute nel vostro certificato per 'capire' se siete autorizzati ad accedere o meno. (Spesso i certificati usati per l'autenticazione client sono chiamati certificati client.)

A seconda del vostro browser potreste dover confermare che volete presentare il vostro certificato al sito web. In genere compare una finestra di dialogo nella quale dovete inserire la password del certificato (vale a dire la password della chiave privata). Dopo aver inserito la password corretta il browser invia il vostro certificato al sito web. Ecco perché è importante per voi proteggere la password.

Se qualcuno venisse a conoscenza della password di accesso al vostro certificato, ed avesse accesso al vostro computer, questi potrebbe accedere facilmente anche alle vostre informazioni private o compiere transazioni online, di qualsiasi natura, a vostro nome.

Non appena il sito web riceve il vostro certificato, ne verifica la validità. In primo luogo, il sito controlla che il certificato non sia scaduto. Inoltre il sito può prendere in considerazione la CA che ha rilasciato il certificato. Se non la riconosce come fidata, potrà negarvi l'accesso. Ecco spiegato il motivo per cui è importante affidarsi ad una CA riconosciuta universalmente.

Il sito web può usare qualsiasi informazione contenuta nel certificato digitale nel determinare che tipo di autorizzazioni avete. In sintesi il certificato può contenere alcune o tutte le informazioni riepilogate di seguito:

La vostra chiave pubblica

Il vostro nome

La data di scadenza della chiave pubblica

Il nome della CA che ha rilasciato il certificato

Il numero di serie del certificato

La firma digitale della CA

Varie informazioni richieste dalla CA

Dopo aver confermato la vostra identità, il sito web vi permette di accedere.

Alcuni siti web o reti usano le informazioni contenute nel vostro certificato per personalizzare le informazioni che vedete. Questa personalizzazione a volte è definita controllo degli accessi, ma fate attenzione a non confondere il controllo degli accessi con l'autenticazione client. Quest'ultima è semplicemente una dimostrazione della vostra identità.

Come funziona una firma digitale?

Quando usate un'applicazione per firmare digitalmente un messaggio, quello che fate in sostanza è allegare la porzione pubblica del vostro certificato al messaggio stesso (insieme ad altre informazioni che garantiscono l'integrità della vostra email).

Prima che l'email ed il certificato vengano inviati, il messaggio viene sottoposto ad un processo di codifica, denominato algoritmo di hash, attraverso il quale il messaggio che state inviando è usato per generare matematicamente un set di caratteri alfanumerici che possono essere creati solo a partire dal vostro singolo messaggio.

Questo set di messaggi è definito HYPERLINK "http://www.verisign.com/support/tlc/per/clientHelp/help/concepts/msgdigest.htm" message digest (impronta del messaggio).

E' importante sapere che l'algoritmo di hash lavora in maniera estremamente rapida in una direzione, ma è molto difficile che lavori seguendo un percorso 'a ritroso'. In altre parole, il vostro programma email può prendere il vostro messaggio, passarlo attraverso l'algoritmo di hash, e creare rapidamente un message digest univoco.

Tuttavia, se si disponesse solo del message digest, ci vorrebbero anni per decifrare l'email.

Dopo aver creato il message digest, il vostro programma di posta usa la vostra chiave privata per cifrare il message digest. Si tratta di un passaggio fondamentale. Infatti, se voi doveste inviare l'email ed il message digest, qualcuno potrebbe agevolmente modificare il testo del vostro messaggio, ricreare il message digest, e poi inviarlo come se foste voi ad inviarlo.

Il vostro programma di posta invia l'email con il certificato digitale ed il message digest cifrato come allegati. Nessuna parte del testo del messaggio email viene spedito criptato. Quindi, se qualcuno volesse, potrebbe ancora leggere il contenuto del messaggio.

Quando qualcuno riceve un'email inviata da voi, il loro programma di posta usa la chiave pubblica del vostro certificato digitale per decifrare il message digest. Successivamente l'applicazione passa il testo della vostra email attraverso lo stesso algoritmo di hash usato dalla vostra applicazione. La fase successiva è costituita dal confronto tra i due message digest. Se il message digest allegato alla vostra email corrisponde a quello generato dal programma di posta del destinatario, ciò vuol dire che il messaggio non è stato alterato durante il passaggio da un computer all'altro.

Come si proteggono le email con un certificato?

Potete proteggere le vostre email nei modi che seguono:

Firmare digitalmente un messaggio, in modo che il destinatario possa sincerarsi che il messaggio stesso è effettivamente stato inviato da voi e non da un impostore. La firma del messaggio inoltre, assicura l'integrità dello stesso, cioè assicura che nessuno ha alterato il messaggio.

Cifrare un messaggio di modo che nessuno, dall'esterno, anche se riesce ad intercettarlo, possa poi leggerlo.

E' possibile impostare la maggior parte delle applicazioni email in modo tale che firmino o cifrino automaticamente tutti i messaggi in uscita dalla vostra casella di posta; altrimenti, potete essere voi a selezionare manualmente la firma e la cifratura per un messaggio, di volta in volta.

Quali programmi di posta supportano i certificati digitali individuali VeriSign-Trust Italia?

In generale, i certificati digitali VeriSign-Trust Italia possono essere utilizzati da tutte le applicazioni per la posta elettronica che supportano il protocollo S/MIME (Secure Multipurpose Internet Mail Extensions)

Cosa accade quando una chiave giunge a scadenza?

Per poter prevenire un attacco a forza bruta ai danni del certificato, ogni chiave deve avere una data di scadenza, al giungere della quale la chiave non è più valida.

La data di scadenza è inclusa nella chiave pubblica di un certificato digitale. Ogni browser e programma di posta verificano la validità di un certificato accertandosi che la data in cui ricevete il certificato (e le informazioni che questo protegge) sia compresa nel periodo di validità del certificato stesso. Ciò significa che quando la vostra chiave scade, ogni cosa che avete firmato con essa non sarà più valida.

Dopo la scadenza dovete rinnovare il vostro certificato.

I certificati digitali sono validi un anno dal momento del rilascio. Se desiderate verificare lo status del vostro certificato, ed essere così certi in merito alla sua data di scadenza, potrete effettuare una ricerca nel nostro Digital ID, ai seguenti indirizzi:

Classe 1: HYPERLINK "https://digitalid.trustitalia.it/c1/client/search.htm" https://digitalid.trustitalia.it/c1/client/search.htm

Classe 2: HYPERLINK "https://digitalid.trustitalia.it/c2/client/search.htm" https://digitalid.trustitalia.it/c2/client/search.htm

Classe 3: HYPERLINK "https://digitalid.trustitalia.it/c3/client/search.htm" https://digitalid.trustitalia.it/c3/client/search.htm

Come si invia un'email cifrata?

Se due persone vogliono scambiarsi email cifrate hanno entrambe bisogno di un certificato. Per procurarvi la chiave pubblica di un altro utente, vi sarà sufficiente chiedergli di inviarvi un'email firmata. La chiave pubblica verrà inviata automaticamente insieme all'email, e si installerà nel vostro browser. A questo punto, se volete inviare un'email cifrata, selezionate l'opzione relativa nel programma di posta, e la chiave pubblica abbinata all'indirizzo email, sarà usata per cifrare il messaggio. Una volta ricevuto questo messaggio, il destinatario dovrà utilizzare la propria chiave privata (in genere protetta con una password) per decifrarla. La chiave privata è memorizzata localmente sulla vostra macchina, e nel caso la perdiate, non potrete leggere le email cifrate.

E' possibile usare un unico certificato su più indirizzi email?

No, non è tecnicamente possibile. L'unico modo per certificare diversi indirizzi email è richiedere un certificato per ogni singolo indirizzo. E' possibile avere più indirizzi email che fanno riferimento ad un solo account, ma nel momento in cui dovete richiedere un certificato digitale, vi verrà richiesto a quale indirizzo di posta elettronica volete associare il certificato.

E' possibile inviare email protette ad una persona che non ha un certificato digitale?

No, in questo caso non è possibile inviare un messaggio cifrato se non avete il certificato digitale del destinatario. Tuttavia è possibile inviare email firmate se il destinatario, pur non avendo alcun certificato, ha un client di posta che supporta il protocollo S/MIME.

Perché è necessaria una copia di backup del certificato?

Il backup è un'operazione vivamente consigliata per avere la certezza di non perdere il proprio certificato neanche in caso di crash dell'hard drive o comunque di una rimozione accidentale del certificato dal proprio computer. In casi come questi, l'aver conservato una copia di backup del certificato in un floppy disk conservato in un luogo sicuro, vi garantirà la possibilità di continuare ad usare il vostro certificato fino alla sua naturale scadenza. Ricordate che nel caso in cui perdiate il vostro certificato senza averne fatto una copia di backup perderete la possibilità di accedere a tutte le email che sono state cifrate con la vostra chiave pubblica.

Quando è necessario revocare un certificato digitale prima della sua scadenza?

La revoca di un certificato prima della sua scadenza si rende necessaria quando, ad esempio, qualcun altro è riuscito ad entrare in possesso, o se in qualche modo avete perso la possibilità di usare il certificato ed avete bisogno di sostituirlo. Per fare degli esempi concreti, può accadere che qualcuno rubi il vostro computer contenente il certificato, che voi non avete protetto con una password. In questo caso la persona che si è impossessata del vostro certificato potrà inviare messaggi cifrati dal vostro account e 'sostituirsi a voi' in rete. In questo caso è necessaria la revoca del certificato rubato ed usato illecitamente, sostituendolo con un nuovo certificato che potrete utilizzare voi. Un altro caso in cui si rende necessaria la revoca del certificato è la perdita dello stesso in seguito ad un crash dell'hard drive e non si è in possesso di una copia di backup. In questo caso, prima di poter avere un nuovo certificato, dovrete revocare quello risultante ancora valido, anche se non più utilizzabile.

E' possibile che qualcun altro revochi il mio certificato digitale senza la mia autorizzazione o senza che io ne sia a conoscenza?

No. Durante l'enrollment per la richiesta del certificato, avete dovuto inserire una Challenge Phrase, che solo voi dovreste conoscere. Per procedere alla revoca del certificato è necessario utilizzare questa Challenge Phrase.

POSTA ELETTRONICA CERTIFICATA

Cos'è la Posta Elettronica Certificata (PEC)?

La Posta Elettronica Certificata (PEC) è il sistema che consente di inviare Email con Valore Legale equivalente a quello delle Raccomandate con Ricevuta di Ritorno.

Il sistema, oltre a recapitare i messaggi, produce e invia Ricevute (firmate digitalmente e marcate temporalmente) attestanti che il messaggio:

  1. è stato Spedito
  2. è stato Consegnato
  3. non è stato Alterato

Il sistema inoltre, grazie ai protocolli di Sicurezza utilizzati, garantisce l'Integrità del contenuto rendendo impossibile la modifica dei messaggi inviati, eventuali allegati compresi.

Affinché un messaggio di PEC abbia pieno Valore Legale, come quello di una raccomandata con ricevuta di ritorno, è necessario naturalmente che venga inviato a un'altra casella di PEC: in altre parole anche quella del destinatario deve essere una casella di PEC.

A chi è utile la PEC?

La Posta Elettronica Certificata è uno strumento di indubbia utilità per tutti coloro che hanno l'esigenza di inviare e ricevere messaggi (ed eventuali allegati) con pieno Valore Legale, in modo sicuro, semplice e immediato, comodamente dal o sul proprio computer.

L'uso della PEC rispetto a quello di altri strumenti di comunicazione, quali fax e raccomandate tradizionali, consente un notevole Risparmio di tempo e denaro.

Il canone annuo di una Casella PEC è molto contenuto e fisso, indipendente cioè dalla quantità e dalla dimensione dei messaggi spediti e di quelli ricevuti.

Come si utilizza la PEC?

La Posta Elettronica Certificata si utilizza come la normale posta elettronica, cioè tramite un programma Client (come, per esempio, Outlook Express o Mozilla Thunderbird) oppure tramite Webmail.

Quali sono i vantaggi della PEC?

  • Valore legale: i messaggi di Posta Elettronica Certificata, a differenza da quelli della tradizionale posta elettronica, hanno pieno Valore Legale. Le loro ricevute possono essere usate come prove dell'invio, della ricezione e anche del contenuto del messaggio inviato. Le principali informazioni riguardanti la trasmissione e la consegna di un messaggio vengono conservate dai Gestori di PEC per 30 mesi e sono anch’esse opponibili a terzi.

  • Sicurezza: il servizio utilizza i protocolli sicuri POP3s, IMAPs, SMTPs ed HTTPs.
    Tutte le comunicazioni sono Crittografate e Firmate Digitalmente, quindi protette, e garantiscono l’Integrità dei messaggi inviati e ricevuti.

  • Semplicità: il servizio di Posta Elettronica Certificata si usa come la normale posta elettronica, cioè sia tramite programma Client (come, per esempio, Outlook Express o Mozilla Thunderbird) che tramite Webmail.

  • Comodità: una casella PEC può essere utilizzata tramite qualsiasi computer collegato a Internet.

  • Risparmio: confrontando il costo di una casella PEC con quello degli strumenti alternativi, quali fax e raccomandate tradizionali, appare subito evidente come il Risparmio, sia in termini economici che di tempo, è notevole.

  • Trasmissione immediata: ogni PEC viene normalmente consegnata pochi secondi dopo l'invio.

  • Costo fisso: il costo di una casella PEC è fisso e non prevede oneri aggiuntivi in base all'utilizzo.

  • Nessun Virus e nessuna Spam: l'identificazione certa del mittente di ogni messaggio ricevuto e il fatto che non si possono ricevere messaggi non certificati, rendono il servizio PEC pressoché immune dalla fastidiosa posta spazzatura.

Chi fornisce il servizio di PEC?

Il servizio di Posta Elettronica Certificata deve essere fornito da un Gestore facente parte dell'Elenco Pubblico dei Gestori di PEC tenuto dall'Agenzia per l'Italia Digitale.

Come funziona la PEC?

Viene di seguito riportata una descrizione grafica del servizio di Posta Elettronica Certificata con l'evidenza di tutti gli "attori" a vario titolo coinvolti nel processo di invio e ricezione di un messaggio.

Schema funzionale PEC

Cosa succede in caso di errore durante la fase di invio o di ricezione di un messaggio di PEC?

I Gestori di PEC producono avvisi, Firmati Digitalmente e Marcati Temporalmente, che vengono inviati, in caso di errore, intervenuto durante una qualsiasi delle fasi di invio o di ricezione di un messaggio di PEC, cosicché non vi siano mai dubbi sullo stato di spedizione.

Cosa succede in caso di smarrimento, da parte del mittente, di una ricevuta?

Nel caso in cui il mittente dovesse smarrire una ricevuta, la traccia informatica delle operazioni svolte, conservata dal Gestore di PEC per 30 mesi, consentirà la riproduzione, con lo stesso valore giuridico, della ricevuta smarrita.

Quali sono i servizi di PEC offerti da Trust Italia?

I servizi di Posta Elettronica Certificata (PEC) offerti sono:

  1. Attivazione di caselle di PEC su dominio pubblico
    • @pec.it
    • @arubapec.it
    • @mypec.eu
    • @gigapec.it
    • @casellapec.com
    • @pecditta.com

  2. Attivazione di caselle di PEC su dominio personalizzato
    • @pec.nomedominio.xxx

Qual'è l'offerta di caselle di PEC su dominio pubblico?

Per l’acquisto di caselle di Posta Elettronica Certificata del tipo

  • @pec.it
  • @arubapec.it
  • @mypec.eu
  • @gigapec.it
  • @casellapec.com
  • @pecditta.com
sono disponibili tre tipi di offerta:

  1. Casella PEC Standard
  2. Casella PEC Pro
  3. Casella PEC Premium

Qual'è l'offerta di caselle di PEC su dominio personalizzato?

È possibile attivare caselle di PEC nella seguente forma:
nomecasella@pec.nomedominio.xxx

Qual'è la documentazione necessaria per l'attivazione di una casella di PEC?

Per attivare il servizio di Posta Elettronica Certificata è necessario inviare la documentazione di seguito indicata.

  • Nel caso in cui il Titolare sia una Persona Fisica:
    • Copia fronte/retro di un documento d'identità valido del Titolare della casella PEC.
  • Nel caso in cui il Titolare sia una Persona Giuridica (società, associazione, ente, ecc.):
    • Copia fronte/retro di un documento d’identità valido del Legale Rappresentante;
    • Dichiarazione Sostitutiva debitamente compilata.

Come posso accedere alla mia casella di PEC tramite un Client di Posta?

I seguenti link portano a tutte le informazioni necessarie per accedere alla propria casella di PEC tramite un Client di Posta, come MS-Outlook, MS-Outlook Express, Mozilla Thunderbird o altro:

PEC MANAGEMENT SYSTEM

PMS ha limitazioni di utenza?

No, la piattaforma non ha particolari limiti: nella sua versione completa è in grado di gestire un numero illimitato di utenti e di caselle PEC.

Come riesce PMS ad abbinare un allegato personalizzato a uno specifico destinatario?

L’abbinamento tra allegato e destinatario viene automatizzato quando, data una casella PEC del destinatario xxx@yyy.zz, il suffisso del nome del file da allegare contiene xxx.

PMS è legata a un particolare Provider di PEC?

No, assolutamente. È possibile utilizzare caselle email di qualsiasi provider di PEC che esponga accessi in protocollo SMTPs e POP3s.
Le caselle email possono essere anche preesistenti all'adozione di PMS.

PMS permette di firmare e/o marcare temporalmente i file da inviare?

PMS può essere integrata opzionalmente con una soluzione di Firma Digitale, la Firma Digitale Distribuita (FDD) , che permette di firmare e/o marcare temporalmente gli allegati da inviare.

Perchè è necessario accedere a PMS attraverso un Certificato Digitale Pubblico?

L’utilizzo di credenziali forti, quali i Certificati Digitali Pubblici, consente di identificare inequivocabilmente ogni singolo utente operante con la piattaforma PMS.

Cosa evidenzia la Reportistica di un Operatore?

Per ciascun Operatore è possibile evidenziare il numero di email PEC:

  • complessivamente inviate;
  • consegnate sul server mail del destinatario;
  • il cui invio sia in fase di esecuzione;
  • non recapitate.

Quale livello di personalizzazione della Piattaforma è previsto?

PMS è una soluzione che permette di essere integrata sia con gli applicativi aziendali che con altre soluzioni complementari (come, per esempio, la Firma Digitale Distribuita - FDD ) e, nel rispetto della sua funzione principale di invio singolo e/o multiplo di email PEC con allegati, è possibile personalizzarla in funzione di differenti esigenze operative.

Oltre che con l’utilizzo dei Certificati Digitali come si garantisce la tracciabilità delle attività svolte da ogni singolo utente?

PMS è dotata di un sistema di logging e di firma automatica di quest'ultimo a garanzia della sua inalterabilità.

Quali livelli di sicurezza fornisce PMS?

La Piattaforma gestisce esclusivamente caselle PEC, quindi tutti i controlli relativi alla presenza di virus e/o malware sono già espletati dal Provider di PEC.

Le connessioni tra utenti e PMS sono autenticate e riservate grazie all’uso di un Certificato Server, a protezione di PMS, e di Certificati Client per l’identificazione degli utenti.

BUG HEARTBLEED

Cos'è il bug Heartbleed?

Il 7 aprile 2014 un team di ricercatori ha annunciato la scoperta di una vulnerabilità critica chiamata "The Bug Heartbleed" che coinvolge OpenSSL, una libreria software di crittografia open source largamente utilizzata.

Le versioni di OpenSSL coinvolte sono quelle comprese fra la 1.0.1 e la 1.0.1f (inclusa) che abbiano abilitata l'estensione TLS server “heartbeat”.

L'ultima versione di OpenSSL, la 1.0.1g, NON è vulnerabile in quanto fornita di patch.

Il "Bug Heartbleed" consentirebbe a dei malintenzionati di leggere la memoria dei sistemi che utilizzano le versioni del software OpenSSL coinvolte.

Il bug potrebbe pertanto mettere a rischio - potenzialmente - l'inviolabilità delle chiavi e consentire di decifrare/intercettare le comunicazioni SSL criptate. Sono a rischio anche altri dati presenti in memoria come username e password degli utenti.

Quali sono i sistemi affetti dal bug?

Tutte le versioni di OpenSSL, dalla 1.0.1 alla 1.0.1f (inclusa) che abbiano abilitata l'estensione TLS server “heartbeat”.

La vulnerabilità riguarda i protocolli SSL/TLS?

Assolutamente no. Non è stato violato il protocollo SSL e non si tratta in alcun modo di una vulnerabilità legata ai certificati digitali emessi da Symantec e dai suoi brand.

Possiedo la versione di OpenSSL 1.0.0. Quali rischi corro?

Nessuno. Questa versione non è vulnerabile e non occorre prendere alcun provvedimento correttivo.

Possiedo la versione OpenSSL 0.9.8. Quali rischi corro?

Nessuno. Questa versione non è vulnerabile e non occorre prendere alcun provvedimento correttivo.

Come posso sapere se i miei sistemi sono a rischio?

Symantec mette a disposizione un ottimo tool che implementa la funzione di verifica della vulnerabilità. Si trova alla seguente pagina:
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

Possiedo una delle versioni di OpenSSL affette dal bug. Come devo comportarmi?

Il primo passo da compiere è l'update di OpenSSL all'ultima versione disponibile, la 1.0.1g, che contiene la patch di sicurezza. Nel caso in cui tale operazione non fosse possibile è necessario ricompilare il codice escludendo l'estensione heartsbeats con –DOPENSSL_NO_HEARTBEATS.

Possiedo una delle versioni di OpenSSL affette dal bug. Devo sostituire il mio certificato digitale?

Sì, è necessario sostituire il certificato in quanto il bug potrebbe aver messo a rischio la chiave privata. Dopo aver aggiornato la tua versione di OpenSSL, provvedi a generare una nuova chiave privata e a richiedere la sostituzione del certificato. IMPORTANTE: durante la generazione del csr accertarsi di inserire gli stessi dati utilizzati nella precedente richiesta.

Quali sono i passi da compiere per sostituire il mio certificato?

PASSO 1

PASSO 2
Ti verrà chiesto di inserire i seguenti dati:

  • Fully qualified domain name (Common Name);
  • Indirizzo e-mail di uno dei contatti indicati nell'ordine originario (Contatto tecnico o Organizzativo);
  • il numero di 5 cifre che appare nell'immagine posta a lato.

PASSO 3
Fare click su Continue.

PASSO 4
Appare una lista di certificati corrispondente ai criteri immessi. Fare click sul pulsante Request Access.

PASSO 5
Verrà inviata un'e-mail all'indirizzo indicato. Aprire l'e-mail ricevuta e fare click sul link presente che rimanda ai dettagli del certificato.

PASSO 6
Nel menu di sinistra fare click su Reissue Certificate. ATTENZIONE: per i certificati Symantec l'opzione non è Reissue, ma Replace.

PASSO 7
Nella pagina successiva immettere il nuovo csr e fare click su Submit.

PASSO 8
Dopo aver installato il nuovo certificato NON DIMENTICARE di revocare il vecchio accedendo alle stesse pagine sopra indicate. Si tratta di un'operazione assolutamente indispensabile. Se infatti un malintenzionato fosse venuto in possesso della vecchia chiave privata potrebbe utilizzarla per attività illecite.

Quando riceverò il nuovo certificato?

Se si tratta di un certificato Domain-Validated (Thawte 123 o Geotrust Quick SSL) è il destinatario dell'e-mail di approvazione che deve approvare la richiesta. Subito dopo riceverà il certificato.
Per tutti gli altri certificati la sostituzione avverrà entro 24 ore, purchè non venga modificato alcun dato nella richiesta.

Quanto costa la sostituzione?

La sostituzione di un certificato è completamente gratuita, senza limiti temporali (anche se consigliamo di effettuarla al più presto).

Posso cambiare dei dati durante la sostituzione?

No. I dati del csr e dei contatti devono rimanere gli stessi. Un cambiamento dei dati comporta l'acquisto di un nuovo certificato e dei tempi di emissione inevitabilmente più lunghi.

Devo fare altro dopo aver aggiornato la mia versione di openSSL e aver sostituito il certificato?

Sì. Raccomandiamo vivamente di reimpostare eventuali password degli utenti finali che potrebbero essere state ospitate nella zona di memoria potenzialmente colpita dalla vulnerabilità.

Dove posso trovare ulteriori approfondimenti sull'argomento?

REBRANDING VERISIGN-SYMANTEC

Perché il simbolo VeriSign è stato aggiornato?

Nell'Agosto del 2010 Symantec ha acquisito VeriSign Authentication Services, compresi i certificati SSL VeriSign e il simbolo VeriSign Trust Seal. Questi prodotti per la sicurezza dei siti web sono, dunque, ora offerti da Symantec.

Nella primavera del 2012 Symantec ha completato la transizione delle offerte VeriSign alla sua famiglia di prodotti per la sicurezza, Norton.

Il simbolo VeriSign, che i nostri clienti e i visitatori dei loro siti web conoscono e apprezzano, è stato rinominato Norton Secured.

Il simbolo Norton Secured, nei risultati dei motori di ricerca e sul vostro sito web, comunicherà il senso di sicurezza dei siti protetti e autenticati da Symantec.

Come è stato cambiato il simbolo VeriSign?

Il segno di spunta VeriSign, parte del marchio di fiducia più riconosciuto in Internet, è stato combinato con il nome leader nella protezione delle tecnologie personali, Norton, ed è diventato Norton Secured.

Test condotti da Symantec tra gli utenti hanno dimostrato che il simbolo Norton Secured conserva l'elevato grado di riconoscimento e fiducia accumulato nel tempo da quello VeriSign.
Norton Secured Seal

Quando è stato aggiornato il simbolo VeriSign in Norton Secured?

Nell'Aprile 2012 Symantec ha aggiornato automaticamente il simbolo VeriSign in Norton Secured, combinando la forza del segno di spunta VeriSign con il valore del marchio Norton.

Ciò garantirà la sicurezza dei siti web dei nostri clienti, dalla ricerca alla navigazione, fino agli acquisti.

Cosa devono fare i nostri clienti per utilizzare il nuovo simbolo Norton Secured?

Da parte dei clienti che non è necessario alcun intervento: Symantec ha cambiato l'immagine elettronica visualizzata a livello globale.

L'aggiornamento è stato implementato su tutti i siti web in cui era esposto il simbolo VeriSign Secured o VeriSign Trust.

Il simbolo Norton Secured è disponibile nelle stesse dimensioni e negli stessi formati grafici del simbolo VeriSign?

Sì, le dimensioni e i formati grafici del simbolo Norton Secured sono gli stessi in cui era disponibile il simbolo VeriSign.

Se un cliente preferisce continuare a usare il simbolo VeriSign, potrà farlo?

No, a partire dall'Aprile 2012 il vecchio simbolo VeriSign non è stato più disponibile: per mantenere l'elevata riconoscibilità e credibilità del marchio è fondamentale che tutti i siti protetti usino lo stesso simbolo.

Symantec ha promosso e sta promuovendo ampiamente il simbolo Norton Secured e i clienti trarranno notevoli vantaggi dall'utilizzo di questo nuovo simbolo.

Può accadere che il simbolo VeriSign di un cliente non sia stato aggiornato?

Alcuni siti web potrebbero utilizzare versioni datate dei simboli VeriSign; in questo caso l'aggiornamento automatico al simbolo Norton Secured potrebbe non essere avvenuto.

Se il vecchio simbolo VeriSign utilizza un file di tipo gif al posto di JavaScript è necessario un aggiornamento personalizzato.
Per controllare cliccare sul simbolo per aprire la pagina di informazioni relativa ai servizi di sicurezza Symantec presenti sul sito web. Se la pagina non viene visualizzata non si stanno ottenendo i vantaggi completi del marchio di fiducia: il simbolo deve ancora essere aggiornato .

I certificati SSL riportano ora la firma di Symantec?

No, quando un utente fa clic sull'icona del lucchetto, per visualizzare i dettagli del certificato SSL, l'Autorità di Certificazione radice risulta essere ancora VeriSign.

I nomi dei prodotti sono cambiati?

I nomi dei certificati SSL sono rimasti invariati ma hanno il marchio Symantec: ad esempio, Symantec Secure Site Pro con EV.

VeriSign Trust Seal, il nostro servizio di autenticazione per i siti web che non richiedono crittografia SSL, è diventato Symantec Safe Site e visualizza il simbolo Norton Secured.

Esistono ricerche che dimostrano che i clienti sono favorevoli al cambiamento del nome?

Sì, la ricerca condotta da Symantec ha evidenziato una risposta ampiamente positiva al cambiamento del nome.

Norton è il marchio leader nella protezione delle tecnologie personali e i prodotti Norton sono utilizzati da 135 milioni di persone in tutto il mondo e distribuiti sul 60% dei PC basati su Windows.

La ricerca ha evidenziato inoltre come il 77% degli utenti abbia riconosciuto il simbolo Norton Secured ancora prima che questo fosse stato introdotto!

Vi saranno effetti sulle radici dei certificati SSL incorporati nei browser?

No, i certificati radice di VeriSign, ora forniti da Symantec, sono incorporati in un numero di applicazioni e preinstallati in un numero di dispositivi che superano quelli di qualsiasi altra autorità di certificazione.

L'acquisizione da parte di Symantec ha influito sui miglioramenti nelle offerte SSL?

Dopo l'acquisizione di VeriSign Authentication Services, dell'agosto 2010, Symantec ha accelerato lo sviluppo e aumentato l'investimento nei certificati SSL e Code Signing con l'obiettivo di semplificare l'esperienza utente, aggiungere ulteriore valore e migliorare l'efficienza operativa e tecnica.

Nuove funzionalità, che aggiungono valore e differenziano i prodotti, comprendono la visibilità del simbolo nelle ricerche, mediante Seal-in-Search e Norton Safe Web, nonché funzioni di rilevazione preventiva e migliore protezione dalle minacce tramite la scansione antimalware quotidiana dei siti web e la valutazione settimanale delle vulnerabilità.

Chi è Symantec? Chi è Norton?

Symantec, l'azienda leader per antonomasia dell'affidabilità online, protegge il 100% delle aziende Fortune 500, esamina il 30% del traffico email mondiale, sottopone a backup più della metà delle informazioni aziendali del mondo e protegge oltre 135 milioni di utenti con i prodotti per la sicurezza Norton.

Le soluzioni Symantec per la sicurezza e le suite a marchio Norton proteggono più di un miliardo di sistemi e utenti in tutto il mondo.

I prodotti Norton di Symantec sono utilizzati da 135 milioni di persone in tutto il mondo e sono presenti sul 60% dei computer basati su Windows.

Il marchio Norton è riconosciuto dagli utenti che lo percepiscono come simbolo di protezione e sicurezza della propria tecnologia personale.