Il messaggio da proteggere viene detto testo in chiaro, mentre quello trasformato, in modo da essere incomprensibile, viene detto testo cifrato.
La trasformazione da testo in chiaro a testo cifrato si dice cifratura, mentre la trasformazione inversa si dice decifratura.

La trasformazione crittografica è detta algoritmo di cifratura e specifica la procedura che trasforma il testo in chiaro in quello cifrato.
Questa trasformazione è parametrica e il parametro è detto chiave: ciò significa che la trasformazione in sé è soltanto un procedimento, il quale però per essere attuato ha bisogno di un'informazione ulteriore da cui dipende il risultato.

Per decifrare il messaggio non basta conoscere l'algoritmo di cifratura utilizzato, ma è necessario conoscere anche la chiave.

In genere, nello studio degli algoritmi crittografici e della loro sicurezza, si ipotizza che l'algoritmo sia noto a tutti e che ciò che non è noto sia esclusivamente la chiave: questo perché oggi si considera inaffidabile un sistema crittografico la cui sicurezza si basi sulla segretezza dell'algoritmo.

La crittografia tradizionale si basa su un meccanismo per cui cifratura e decifratura sono effettuate utilizzando la stessa chiave: per questo si parla di crittografia simmetrica, o anche, dato che tale chiave deve essere nota solo ai due interlocutori, di crittografia a chiave segreta.
Un noto algoritmo di questo tipo è il DES (Data Encryption Standard).

Il grosso problema di questo approccio è però la distribuzione delle chiavi: se due interlocutori vogliono usare un algoritmo di questo tipo, per comunicare in modo sicuro, devono prima accordarsi in qualche modo sulla chiave, per esempio vedendosi di persona.
Infatti, dato che il canale che usano per la trasmissione dei messaggi non è sicuro (altrimenti non avrebbero bisogno di cifrarli), non possono utilizzarlo per trasmettere la chiave.

Il problema è stato risolto nel decennio tra il 1970 e il 1980 con l'invenzione della crittografia asimmetrica o a chiave pubblica.

Con algoritmi di quest'ultimo tipo ogni soggetto ha due chiavi complementari: una pubblica, da distribuire a tutti quelli con cui vuole comunicare, e una privata da tenere segreta.

Questa sua caratteristica ha subito reso gli algoritmi di crittografia a chiave pubblica ideali per le transazioni online.

Nella crittografia asimmetrica o a chiave pubblica ogni soggetto possiede una coppia di chiavi complementari, una delle chievi è denominata pubblica e l'altra privata. Qualsiasi informazione cifrata utilizzando la chiave pubblica può essere decifrata soltanto utilizzando la corrispondente chiave privata e viceversa.

Cerchiamo di chiarire con un esempio il funzionamento del meccanismo di crittografia asimmetrica.

Bob ha due chiavi complementari: ciò che viene cifrato con una chiave può essere, come detto, decifrato dall'altra.
Egli mantiene una delle due chiavi chiave privata (cioè segrata) e rende l'altra disponibile a chiunque voglia scambiare messaggi, in sicurezza, con lui (chiave pubblica).

Alice, dovendo mandare un messaggio a Bob, lo cifrerà dunque utilizando la chiave pubblica di quest'ultimo e glielo invierà.
Bob, una volta ricevuto il messaggio di Alice, lo decifrerà con la propria chiave privata: l'unica in grado di compiere tale operazione.

Il meccanismo crittografia a chiave pubblica presenta, rispetto a quello a chiave segreta, molti vantaggi:

• Bob non deve affatto preoccuparsi dell'invio, ad Alice, in una qualche modalità protetta della chiave, essendo questa destinata a essere resa pubblica. Se qualcuno, infatti, ne entrasse in possesso tutto quello che potrebbe farci sarebbe inviare a Bob dei messaggi cifrati. L'eventale intruso che dovesse procurarsi la chiave pubblica di Bob non potrebbe chiaramente usarla né per decifrare i messaggi inviati a Bob (operazione per la quale è necessaria la chiave privata di Bob), né tantomeno per inviare messaggi dall'account di quest'ultimo.
  Bob dunque può, in assoluta tranquillità, inviare per email la propria chiave pubblica ad Alice, oppure addirittura pubblicarla in una qualsiasi directory pubblica;

• Bob ed Alice non devono neanche preoccuparsi del fatto che qualcuno potrebbe aver intercettato il messaggio inviato: solo Bob, infatti, utilizzando la propria chiave privata, della quale è l'unico possessore, può decifrarlo.

Una delle grosse innovazioni indotte dalla crittografia asimmetrica è la firma digitale: il mittente di un messaggio può infatti firmarlo digitalmente grazie alla propria chiave privata (che solo lui possiede), ma chiunque è in grado di verificare l'autenticità della firma grazie alla chiave pubblica dello stesso mittente(che è globalmente nota).

La firma digitale può essere abbinata alla normale cifratura, ottenendo così messaggi firmati digitalmente e cifrati.
Si ipotizzi che Alice voglia mandare un messaggio a Bob: per prima cosa lo cifrerà con la propria chiave privata (firma digitale) e poi con quella pubblica dello stesso Bob (cifratura), infine invierà il messaggio.
Quando Bob lo riceverà prima lo decifrerà con la propria chiave privata (operazione che solo lui può fare, per cui è garantita la confidenzialità) e poi con quella pubblica di Alice: se l'operazione andrà a buon fine Bob avrà la certezza che il mittente è realmente Alice, perché soltanto lei può aver cifrato (firmato) il messaggio con la propria chiave privata.

In realtà il modo in cui si realizza la firma digitale è leggermente più complicato. Ciò che il mittente cifra con la propria chiave privata per garantire l'autenticità non è l'intero messaggio, ma una sua "impronta", detta digest, ottenuta mediante una particolare funzione detta di hash: il digest cifrato viene poi allegato al messaggio e ne costituisce la firma. Il destinatario calcola il digest del messaggio ricevuto (la funzione di hash è pubblica) e lo confronta con quello che ottiene decifrando con la chiave pubblica del mittente la firma allegata: se coincidono la firma è autentica.

Si potrebbe pensare che, dopo l'invenzione della crittografia a chiave pubblica, quella a chiave segreta abbia perso interesse, ma le cose non stanno così. Gli algoritmi asimmetrici sono infatti computazionalmente molto più onerosi di quelli simmetrici, per cui il loro uso risulta, in tali termini, molto più pesante. Una soluzione comunemente adottata è l'uso della crittografia asimmetrica per concordare una chiave segreta da utilizzare poi per scambiarsi i messaggi tramite un algoritmo a chiave simmetrica: in questo modo il computazionalmente pesante algoritmo a chiave pubblica viene usato solo per trasmettere una piccola quantità di dati (la chiave segreta), mentre per il resto si usa il più leggero algoritmo a chiave segreta.

I certificati digitali risolvono proprio questo problema: un certificato è infatti un documento elettronico che lega una chiave pubblica a un soggetto.
I certificati digitali sono rilasciati da una terza parte fidata denominata Autorità di Certificazione o Certification Authority (CA) come, per esempio, VeriSign. Prima di rilasciare un certificato, ogni buona CA, esegue delle procedure di verifica volte allo scopo di accertare che il soggetto richiedente sia realmente chi afferma di essere.

Un certificato con chiave pubblica contiene le seguenti informazioni:

• il soggetto del certificato. Nel caso di un certificato SSL per soggetto si intendono il nome dell'organizzazione richiedente e il common name per il quale è effettuata la richiesta: per esempio Trust Italia Spa per il common name www.trustitalia.it;
• il periodo di validità del certificato;
• la chiave pubblica;
• l'ente emittente, cioè la Certification Autority, una terza parte indipendente e fidata come, per esempio, VeriSign;
• la firma dell'ente emittente.

Le Autorità di Certificazione più serie eseguono controlli molto rigorosi prima di rilasciare un certificato.
Tali controlli, nel loro insieme detti Procedure di Validazione, hanno lo scopo di verificare e autenticare l'identità dei soggetti che richiedono i certificati.

Tutti i certificati rilasciati sono firmati con la chiave privata dell'Autorità di Certificazione per garantirne l'autenticità.

In genere la chiave pubblica di un'Autorità di Certificazione è ampiamente distribuita.
La maggior parte dei browser normalmente accetta in maniera automatica i certificati server rilasciati da Autorità di Certificazione universalmente note, come per esempio VeriSign, dal momento che la chiave pubblica di queste CA viene installata nei browser prima che questi ultimi siano distribuiti agli utenti.

Tali procedure si articolano nei punti di seguito descritti.

1. Viene verificata, in primo luogo, l’identità dell’azienda od organizzazione che richiede il certificato. Tale verifica viene condotta attraverso la consultazione del database di infoimprese (www.infoimprese.it), per le società che vi sono iscritte, e di quello di Dun & Bradstreet (www.dnb.it), per le società od organizzazioni in possesso di un numero DUNS.
   In base alle procedure di validazione comuni a tutte le affiliate Symantec quanto inserito nel campo Organization, durante la generazione del CSR, deve corrispondere esattamente alla ragione sociale riportata nel database di infoimprese o in quello di Dun & Bradstreet. Nel caso in cui non vi sia corrispondenza (perché, per esempio, la ragione sociale della società è stata abbreviata) gli operatori si vedranno costretti a respingere la richiesta di certificato.
   
   
2. La verifica successiva riguarda la registrazione del dominio riportato nel Common Name; per eseguirla vengono consultati i database WHOIS.
   La società od organizzazione alla quale è intestata la registrazione del dominio deve essere la stessa che richiede il certificato. In caso contrario gli operatori invieranno, via email, una Lettera di Autorizzazione per il Dominio, cioè un documento (accompagnato dalle indicazioni per la sua compilazione) con il quale il titolare del dominio concede a chi sta richiedendo il certificato il diritto di utilizzare il dominio stesso. Qualora il dominio fosse intestato a una società od organizzazione non più esistente, o la cui denominazione è errata verrà richiesto l'aggiornamento del dominio.
   
   
3. Viene infine verificato, telefonicamente, che la persona indicata come Contatto Organizzativo, durante la procedura di registrazione, sia effettivamente un dipendente dell’azienda che richiede il certificato, conosca i dettagli della richiesta e confermi che la persona indicata come Contatto Tecnico sia autorizzata a ricevere e a installare il certificato stesso. Un operatore dovrà poter raggiungere il Contatto Organizzativo attraverso il numero telefonico intestato all’azienda richiedente. Tale numero deve essere reperibile attraverso una terza parte affidabile e ufficiale (infoimprese, Dun & Bradstreet, elenchi telefonici pubblici delle compagnie telefoniche). Non potranno essere utilizzati numeri telefonici interni, numeri telefonici intestati a società diverse da quella che richiede il certificato o numeri di cellulare, salvo che non si tratti di cellulari aziendali i cui numeri compaiano sulla bolletta o fattura telefonica intestata all’azienda stessa. Per i motivi sopra indicati ribadiamo il consiglio di designare come Contatto Organizzativo una persona facilmente raggiungibile attraverso il centralino dell’azienda.

^(*) Per procedere al download gratuito delle nostre guide è richiesta la compilazione di un breve modulo.

Per i prodotti Secure Site with EV e Secure Site Pro with EV richiede, invece, circa 15 giorni lavorativi di tempo, sempre dall'inizio delle procedure di validazione e autenticazione.

Il certificato richiesto sarà inviato, via email, all’account del Contatto Tecnico.

Quando un utente o un cliente si collega a un sito certificato da Symentec ha la certezza, infatti, non solo di trovarsi in un sito protetto ma anche che l'organizzazione titolare è regolarmente autorizzata a esercitare quell'attività.

A livello di sicurezza c'è indubbiamente differenza tra un certificato SSL con chiave di sessione minima negoziata a 40 bit e uno a 128 bit, la più potente attualmente disponibile sul mercato!

Si parla infatti, nel primo caso, di crittografia standard, un livello consigliabile per proteggere informazioni riservate ma con un grado di confidenzialità non particolarmente elevato, come per esempio form di prenotazione richiedenti nulla più che dati anagrafici.
Ciò perché un hacker che abbia sufficienti motivazioni, tempo, capacità e strumenti idonei a sua disposizione potrebbe riuscire a decifrare, in un ragionevole lasso di tempo, informazioni crittografate a 40 bit.

Diversamente è stato calcolato che per violare un certificato con crittografia a chiave di sessione minima a 128 bit, nota come crittografia forte, un hacker impiegherebbe milioni di anni!
La potenza della crittografia forte è infatti superiore di oltre un trilione di volte rispetto a quella standard.

Il CSR deve essere generato sul server sul quale è ospitato il sito web che si intende certificare, utilizzando il software che il server stesso mette a disposizione.

Il CSR va generato a 2048 bit per i prodotti EV (Extended Validation) e comunque per tutti quelli per i quali è richiesta una durata superiore a un anno. Si può generare a 1024 bit per i prodotti non EV con durata di un anno.

Durante la procedura di generazione del CSR ha luogo anche la creazione della coppia di chiavi crittografiche, cioè della chiave pubblica e della chiave privata.

Una volta creata la coppia di chiavi, la chiave pubblica viene inclusa nel CSR mentre quella privata rimane sul server.

La chiave pubblica, inclusa nel CSR, viene inviata, attraverso le procedure di registrazione del sito di Trust Italia Spa, a VeriSign che provvede a firmarla con la propria chiave privata e a reinviarla, infine, sotto forma di certificato digitale.

E’ per questo motivo che il CSR e la coppia di chiavi (che, ricordiamo, è sempre univoca) devono essere generati sulla stessa macchina sulla quale il certificato verrà installato. Infatti il certificato, cioè la chiave pubblica firmata da VeriSign, dovrà essere installato in corrispondenza della rispettiva chiave privata. Nel caso in cui ciò non avvenga, la procedura di installazione del certificato non potrà in nessun caso andare a buon fine.

Per maggiori informazioni è possibile scaricare^(*) la nostra Guida alla registrazione per l'acquisto online di un certificato digitale per server .

^(*) Per procedere al download gratuito delle nostre guide è richiesta la compilazione di un breve modulo.

Esempi di Common Name sono, dunque, www.trustitalia.it, digitalid.verisign.com, trading.miabanca.it, secure.rsasecurity.com.

In un Common name non possono essere usati i seguenti caratteri speciali: ! @ $ & * ) ( _ # : " > ? '.
Non possono essere altresì usati indirizzi IP (per esempio 192.168.2.52), né numeri di porta (come per esempio 80 o 443), né http:// o https://.

Nel caso in cui si desideri certificare una intranet il Common Name potrà essere composto da una sola parola, come per esempio il nome del server o localhost.

E’ importante ricordare che i certificati digitali sono, in ogni caso, specifici rispetto al Common Name per il quale vengono richiesti e rilasciati: anche nel caso di una intranet, pertanto, nel campo Common Name va specificato l’URL che gli utenti dovranno digitare per accedere alla intranet stessa.

Modificando l'indirizzo IP associato al FQDN il certificato continuerà a funzionare regolarmente.
E’ evidente la necessità di effettuare sul server tutte le modifiche di configurazione necessarie per utilizzare il nuovo indirizzo IP.
L’accesso in https al sito sarà, naturalmente, legato ai tempi tecnici di aggiornamento del DNS.

La Server Gated Cryptography (SGC) è stata sviluppata per abilitare tutti i computer a connettersi a 128 bit: in assenza di un certificato con tecnologia SGC i browser e i sistemi operativi che non supportano la connessione a 128 bit possono connettersi solo a 40 o 56 bit.

I browser interessati dall'SGC sono Internet Explorer, nelle sue versioni dalla 3.02 alla 5.5, e Netscape, nelle sue versioni dalla 4.02 alla 4.72

I sistemi operativi interessati, invece, sono quelli Windows, 2000 rilasciati prima del marzo 2001, su cui non sia stato installato il Service Pack 2 e che utilizzano le versioni summenzionate di Internet Explorer.

Ciò infatti, oltre a non essere conforme alle policy Symantec, è assolutamente poco raccomandabile dal punto di vista della sicurezza.

Del resto, quando le chiavi private sono spostate da un server all'altro, attraverso CD o anche via rete, la sicurezza diminuisce e i controlli diventano più difficili da compiere. Condividendo uno stesso certificato su due o più server, le aziende non fanno che esporsi a rischi enormi e a complicare il controllo degli accessi a una chiave privata nel caso di danno subito da un server.

Inoltre, in tutti i casi di seguito elencati è fortemente raccomandata l'utilizzazione di un certificato diverso per ogni combinazione server/fully qualified domain name:

• server di backup (clustering);
• server multipli che supportano siti multipli (virtual server);
• server multipli che supportano un solo sito (load balancing o round robin);
• virtual hosting o shared hosting.

Il certificato di prova è a 40 bit, ha validità 14 giorni, ed è assolutamente gratuito.

Il consiglio è quello di fare sempre riferimento alle istruzioni fornite direttamente dal produttore del server per procedere all'esportazione e all'importazione di un certificato.

Il principio di base è comunque quello di effettuare una copia del certificato comprensiva della chiave privata e importarla sul server di destinazione.

Di norma si tratta di un'operazione che comporta una bassa percentuale di rischio quando il produttore dei due server è lo stesso: il passaggio a una versione più recente dello stesso server, in genere, non crea alcun problema, pur essendo sempre preferibile chiederne conferma al produttore.

Nel caso in cui si dovesse trasferire il certificato tra server incompatibili tra loro è necessario revocare il certificato stesso e sostituirlo con uno compatibile con il nuovo server.

Il primo passo da compiere, per richiedere un certificato digitale per server, è generare un CSR.
Nel corso di tale procedura ha luogo, fra l'altro, la creazione della coppia di chiavi crittografiche: la chiave pubblica viene inclusa nel CSR mentre quella privata rimane sul server.

La chiave pubblica, inclusa nel CSR, viene inviata, attraverso le procedure di registrazione del sito di Trust Italia Spa, a VeriSign che provvede a firmarla con la propria chiave privata e a reinviarla, infine, sotto forma di certificato digitale.

Né Trust Italia né VeriSign entrano mai in possesso, né hanno in alcun modo mai accesso alla vostra chiave privata: essa viene, come detto, generata sul vostro server e non viene mai trasmessa ad alcuno.

L'integrità del vostro certificato dipende dalla cura con cui custodite la vostra chiave privata: in caso di smarrimento della chiave privata è, pertanto, necessario sostituire il certificato.

Nel caso in cui si debba utilizzare il certificato su più di un server è necessario acquistare un numero di licenze pari al numero di server.

Tali certificati permettono infatti all'utente di stabilire, già a colpo d'occhio, che il sito a cui egli sta accedendo è sicuro: ciò grazie alla semplice visualizzazione della barra dell'indirizzo che risulterà colorata di verde in tutti i principali browser di ultima generazione.

In particolare un certificato SSL Symantec con Extended Validation pone in evidenza con chiarezza:

• l'autenticazione del dominio, e del sito a esso corrispondente, al quale l'utente si collega;
• l'identità dell'azienda o dell'organizzazione che tramite quel dominio e quel sito eroga un determinato servizio;
• la Certification Authority (CA) utilizzata: nel nostro caso VeriSign, la leader mondiale delle CA!

Per rilasciare un certificato SSL conforme allo standard Extended Validation (EV) la CA deve adottare le policy stabilite e superare un Webtrust audit.

Il processo di validazione prevede che la CA autentichi l'organization name (ragione sociale) della organizzazione che richiede il certificato e la proprietà del dominio per il quale tale certificato viene richiesto.

Come per i certificati digitali non EV, anche in questo caso, le procedure di validazione si concludono con la telefonata di verifica effettuata al contatto organizzativo.

Il grande utilizzo di Internet e i frequenti casi di truffe online hanno reso gli utenti sempre più consapevoli dei rischi di una mancata protezione della loro identità durante la navigazione.

Prima di inserire dati sensibili la maggior parte degli utenti pretende, oggi, la prova dell'affidabilità del sito web e la cifratura delle informazioni scambiate.
In assenza di tali garanzie gli utenti sono sempre più propensi ad abbandonare qualsiasi transazione in corso.

I certificati con Extended Validation offrono la verifica di una terza parte affidabile con un'evidenza visiva immediata e capace di trasmettere agli utenti sicurezza e fiducia.

Grazie alla visibilità immediata del livello di sicurezza del sito è possibile acquisire anche un vantaggio competitivo nei confronti della propria concorrenza.

• gli enti statali;
• tutte le società di capitali, regolarmente registrate al momento della richiesta del certificato, che esercitano un attività legale.

Quando i clienti scaricano applicazioni online, installano plug-in e componenti aggiuntivi o interagiscono con sofisticate applicazioni Web, devono avere la certezza che il codice sia autentico e che non sia stato infettato o alterato.

Nelle tradizionali vendite di software un acquirente è in grado di verificare l'origine dell'applicazione e la sua integrità esaminando la confezione, cosa che non è evidentemente possibile quando l'applicazione acquistata viene scaricata attraverso la Rete.
La firma del codice crea però una sorta di contenitore digitale che indica ai clienti l'identità dell'organizzazione o della persona responsabile del codice e conferma che questo non è stato modificato dal momento in cui è stata applicata la firma.

Symantec Code Signing protegge il marchio e la proprietà intellettuale applicando una Firma Digitale per rendere le applicazioni identificabili e più difficili da falsificare o danneggiare.

Symantec Code Signing supporta diverse Piattaforme di firma del codice, tra le quali:

• Microsoft Authenticode,
• Java,
• Microsoft Office e VBA,
• Adobe AIR.

Sì, per gli sviluppatori individuali, che non sono affiliati a un'azienda, è previsto un processo di approvazione leggermente differente ma non meno rigoroso.

Per richiedere un certificato Symantec Code Signing a Titolo Individuale contattare il nostro Dipartimento Commerciale.

La firma del codice e del contenuto è basata sulla crittografia a chiave pubblica.

Gli sviluppatori e gli editori di software utilizzano quindi una chiave privata per aggiungere una firma digitale ai propri codici o ai propri contenuti. Le piattaforme software e le applicazioni utilizzano, conseguentemente, una chiave pubblica per decifrare la firma durante il download e confrontano poi l'hash utilizzato per firmare il codice con quello dell'applicazione scaricata.

Il codice firmato da uno sviluppatore attendibile potrà essere accettato automaticamente oppure sarà possibile visualizzare le informazioni sulla firma e decidere, di conseguenza, se accettarlo o meno.

Se la chiave privata viene perduta o compromessa o se le informazioni vengono modificate, è necessario revocare immediatamente il certificato di firma del codice e sostituirlo con uno nuovo.

Durante la di registrazione per l'acquisto di un certificato Code Signing Trust Italia raccoglierà le informazioni necessarie sulla vostra azienda.

Il processo di convalida può richiedere da alcune ore ad alcuni giorni, a seconda delle informazioni fornite e dalla facilità con la quale esse possono essere verificate.

La fornitura del certificato è subordinata all'effettiva ricezione, da parte di Trust Italia, del pagamento: il pagamento tramite carta di credito consente quindi un rilascio in tempi più brevi rispetto a quello tramite bonifico bancario.

Ogni certificato di firma del codice viene acquistato con un periodo di validità associato. Durante il periodo di validità il certificato digitale può essere utilizzato senza limitazioni.

Quando il certificato digitale scade, tutte le firme digitali che dipendono dal certificato digitale scadono, a meno che la firma non includa l'indicazione di data e ora.

L'opzione di indicazione di data e ora specifica quando il codice è stato firmato, consentendo così di verificare, una volta scaduto, che il certificato era valido al momento dell'apposizione della firma.

Un certificato di firma del codice deve essere acquistato e recuperato dallo stesso computer; una volta recuperato è possibile utilizzarlo anche su altri computer.

Trust Italia tuttavia consiglia agli sviluppatori, per motivi di sicurezza e di gestione, di acquistare certificati di firma del codice aggiuntivi, piuttosto che condividerli. Se un certificato viene compromesso e deve quindi essere revocato, tutte le applicazioni firmate con quel certificato verranno infatti disattivate.

In caso di problemi con il recupero del certificato, si verifichi di stare utilizzando lo stesso computer, browser e profilo di accesso utilizzati per la registrazione e l'acquisto.

La firma del codice ne assicura la provenienza e l'integrità.

Per determinare la validità della firma digitale sistemi software, applicazioni e reti di telefonia cellulare fanno affidamento sul certificato principale dall'Autorità di Certificazione emittente.

Un'Autorità di Certificazione di terze parti è chiaramente molto più attendibile di un certificato autofirmato poiché chi ha richiesto il certificato ha dovuto seguire un processo di verifica o autenticazione.

L'ubiquità del certificato principale di Symantec non ha rivali.
I certificati principali Symantec sono preinstallati sulla maggior parte dei dispositivi e sono incorporati nella maggior parte delle applicazioni, cosicché da creare un processo di installazione trasparente e sicuro per gli utenti finali.

Trust Italia consiglia agli sviluppatori, per motivi di sicurezza e di gestione, di acquistare certificati di firma del codice aggiuntivi, piuttosto che condividerli. Se un certificato viene compromesso e deve quindi essere revocato, tutte le applicazioni firmate con quel certificato verranno infatti disattivate.

È preferibile inoltre acquistare un certificato di firma del codice per ogni Piattaforma di sviluppo.
Per utilizzare un unico certificato su più piattaforme è necessario un processo di conversione con l'ausilio di utilità aggiuntive.

La Posta Elettronica Certificata (PEC) è il sistema che consente di inviare Email con Valore Legale equivalente a quello delle Raccomandate con Ricevuta di Ritorno.

Il sistema, oltre a recapitare i messaggi, produce e invia Ricevute (firmate digitalmente e marcate temporalmente) attestanti che il messaggio:

1. è stato Spedito
2. è stato Consegnato
3. non è stato Alterato

Il sistema inoltre, grazie ai protocolli di Sicurezza utilizzati, garantisce l'Integrità del contenuto rendendo impossibile la modifica dei messaggi inviati, eventuali allegati compresi.

Affinché un messaggio di PEC abbia pieno Valore Legale, come quello di una raccomandata con ricevuta di ritorno, è necessario naturalmente che venga inviato a un'altra casella di PEC: in altre parole anche quella del destinatario deve essere una casella di PEC.

La Posta Elettronica Certificata è uno strumento di indubbia utilità per tutti coloro che hanno l'esigenza di inviare e ricevere messaggi (ed eventuali allegati) con pieno Valore Legale, in modo sicuro, semplice e immediato, comodamente dal o sul proprio computer.

L'uso della PEC rispetto a quello di altri strumenti di comunicazione, quali fax e raccomandate tradizionali, consente un notevole Risparmio di tempo e denaro.

Il canone annuo di una Casella PEC è molto contenuto e fisso, indipendente cioè dalla quantità e dalla dimensione dei messaggi spediti e di quelli ricevuti.

La Posta Elettronica Certificata si utilizza come la normale posta elettronica, cioè tramite un programma Client (come, per esempio, Outlook Express o Mozilla Thunderbird) oppure tramite Webmail.

• Valore legale: i messaggi di Posta Elettronica Certificata, a differenza da quelli della tradizionale posta elettronica, hanno pieno Valore Legale. Le loro ricevute possono essere usate come prove dell'invio, della ricezione e anche del contenuto del messaggio inviato. Le principali informazioni riguardanti la trasmissione e la consegna di un messaggio vengono conservate dai Gestori di PEC per 30 mesi e sono anch’esse opponibili a terzi.
  
  
• Sicurezza: il servizio utilizza i protocolli sicuri POP3s, IMAPs, SMTPs ed HTTPs.
  Tutte le comunicazioni sono Crittografate e Firmate Digitalmente, quindi protette, e garantiscono l’Integrità dei messaggi inviati e ricevuti.
  
  
• Semplicità: il servizio di Posta Elettronica Certificata si usa come la normale posta elettronica, cioè sia tramite programma Client (come, per esempio, Outlook Express o Mozilla Thunderbird) che tramite Webmail.
  
  
• Comodità: una casella PEC può essere utilizzata tramite qualsiasi computer collegato a Internet.
  
  
• Risparmio: confrontando il costo di una casella PEC con quello degli strumenti alternativi, quali fax e raccomandate tradizionali, appare subito evidente come il Risparmio, sia in termini economici che di tempo, è notevole.
  
  
• Trasmissione immediata: ogni PEC viene normalmente consegnata pochi secondi dopo l'invio.
  
  
• Costo fisso: il costo di una casella PEC è fisso e non prevede oneri aggiuntivi in base all'utilizzo.
  
  
• Nessun Virus e nessuna Spam: l'identificazione certa del mittente di ogni messaggio ricevuto e il fatto che non si possono ricevere messaggi non certificati, rendono il servizio PEC pressoché immune dalla fastidiosa posta spazzatura.

Il servizio di Posta Elettronica Certificata deve essere fornito da un Gestore facente parte dell'Elenco Pubblico dei Gestori di PEC tenuto dall'Agenzia per l'Italia Digitale.

Viene di seguito riportata una descrizione grafica del servizio di Posta Elettronica Certificata con l'evidenza di tutti gli "attori" a vario titolo coinvolti nel processo di invio e ricezione di un messaggio.

I Gestori di PEC producono avvisi, Firmati Digitalmente e Marcati Temporalmente, che vengono inviati, in caso di errore, intervenuto durante una qualsiasi delle fasi di invio o di ricezione di un messaggio di PEC, cosicché non vi siano mai dubbi sullo stato di spedizione.

Nel caso in cui il mittente dovesse smarrire una ricevuta, la traccia informatica delle operazioni svolte, conservata dal Gestore di PEC per 30 mesi, consentirà la riproduzione, con lo stesso valore giuridico, della ricevuta smarrita.

I servizi di Posta Elettronica Certificata (PEC) offerti sono:

1. Attivazione di caselle di PEC su dominio pubblico
   • @pec.it
   • @arubapec.it
   • @mypec.eu
   • @gigapec.it
   • @casellapec.com
   • @pecditta.com
   
   
2. Attivazione di caselle di PEC su dominio personalizzato
   • @pec.nomedominio.xxx
     
     

Per l’acquisto di caselle di Posta Elettronica Certificata del tipo

• @pec.it
• @arubapec.it
• @mypec.eu
• @gigapec.it
• @casellapec.com
• @pecditta.com

1. Casella PEC Standard
2. Casella PEC Pro
3. Casella PEC Premium

È possibile attivare caselle di PEC nella seguente forma:
nomecasella@pec.nomedominio.xxx

Per attivare il servizio di Posta Elettronica Certificata è necessario inviare la documentazione di seguito indicata.

• Nel caso in cui il Titolare sia una Persona Fisica:
• Copia fronte/retro di un documento d'identità valido del Titolare della casella PEC.

• Nel caso in cui il Titolare sia una Persona Giuridica (società, associazione, ente, ecc.):
• Copia fronte/retro di un documento d’identità valido del Legale Rappresentante;
• Dichiarazione Sostitutiva debitamente compilata.

I seguenti link portano a tutte le informazioni necessarie per accedere alla propria casella di PEC tramite un Client di Posta, come MS-Outlook, MS-Outlook Express, Mozilla Thunderbird o altro:

• Parametri per la configurazione delle caselle di PEC sui Client di Posta
• Videoguide per la configurazione delle caselle di PEC sui Client di Posta

• complessivamente inviate;
• consegnate sul server mail del destinatario;
• il cui invio sia in fase di esecuzione;
• non recapitate.

La Piattaforma gestisce esclusivamente caselle PEC, quindi tutti i controlli relativi alla presenza di virus e/o malware sono già espletati dal Provider di PEC.

Le connessioni tra utenti e PMS sono autenticate e riservate grazie all’uso di un Certificato Server, a protezione di PMS, e di Certificati Client per l’identificazione degli utenti.

Il 7 aprile 2014 un team di ricercatori ha annunciato la scoperta di una vulnerabilità critica chiamata "The Bug Heartbleed" che coinvolge OpenSSL, una libreria software di crittografia open source largamente utilizzata.

Le versioni di OpenSSL coinvolte sono quelle comprese fra la 1.0.1 e la 1.0.1f (inclusa) che abbiano abilitata l'estensione TLS server “heartbeat”.

L'ultima versione di OpenSSL, la 1.0.1g, NON è vulnerabile in quanto fornita di patch.

Il "Bug Heartbleed" consentirebbe a dei malintenzionati di leggere la memoria dei sistemi che utilizzano le versioni del software OpenSSL coinvolte.

Il bug potrebbe pertanto mettere a rischio - potenzialmente - l'inviolabilità delle chiavi e consentire di decifrare/intercettare le comunicazioni SSL criptate. Sono a rischio anche altri dati presenti in memoria come username e password degli utenti.

Tutte le versioni di OpenSSL, dalla 1.0.1 alla 1.0.1f (inclusa) che abbiano abilitata l'estensione TLS server “heartbeat”.

Assolutamente no. Non è stato violato il protocollo SSL e non si tratta in alcun modo di una vulnerabilità legata ai certificati digitali emessi da Symantec e dai suoi brand.

Nessuno. Questa versione non è vulnerabile e non occorre prendere alcun provvedimento correttivo.

Nessuno. Questa versione non è vulnerabile e non occorre prendere alcun provvedimento correttivo.

Symantec mette a disposizione un ottimo tool che implementa la funzione di verifica della vulnerabilità. Si trova alla seguente pagina:
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

Il primo passo da compiere è l'update di OpenSSL all'ultima versione disponibile, la 1.0.1g, che contiene la patch di sicurezza. Nel caso in cui tale operazione non fosse possibile è necessario ricompilare il codice escludendo l'estensione heartsbeats con –DOPENSSL_NO_HEARTBEATS.

Sì, è necessario sostituire il certificato in quanto il bug potrebbe aver messo a rischio la chiave privata. Dopo aver aggiornato la tua versione di OpenSSL, provvedi a generare una nuova chiave privata e a richiedere la sostituzione del certificato. IMPORTANTE: durante la generazione del csr accertarsi di inserire gli stessi dati utilizzati nella precedente richiesta.

PASSO 1

• Se devi sostituire un certificato Thawte accedi alla pagina:
  https://products.thawte.com/orders/orderinformation/authentication.do
  
  
• Se devi sostituire un certificato Geotrust accedi alla pagina:
  https://products.geotrust.com/orders/orderinformation/authentication.do
  
  
• Se devi sostituire un certificato Symantec accedi alla pagina:
  https://products.verisign.com/orders/orderinformation/authentication.do

PASSO 2
Ti verrà chiesto di inserire i seguenti dati:

• Fully qualified domain name (Common Name);
• Indirizzo e-mail di uno dei contatti indicati nell'ordine originario (Contatto tecnico o Organizzativo);
• il numero di 5 cifre che appare nell'immagine posta a lato.

PASSO 3
Fare click su Continue.

PASSO 4
Appare una lista di certificati corrispondente ai criteri immessi. Fare click sul pulsante Request Access.

PASSO 5
Verrà inviata un'e-mail all'indirizzo indicato. Aprire l'e-mail ricevuta e fare click sul link presente che rimanda ai dettagli del certificato.

PASSO 6
Nel menu di sinistra fare click su Reissue Certificate. ATTENZIONE: per i certificati Symantec l'opzione non è Reissue, ma Replace.

PASSO 7
Nella pagina successiva immettere il nuovo csr e fare click su Submit.

PASSO 8
Dopo aver installato il nuovo certificato NON DIMENTICARE di revocare il vecchio accedendo alle stesse pagine sopra indicate. Si tratta di un'operazione assolutamente indispensabile. Se infatti un malintenzionato fosse venuto in possesso della vecchia chiave privata potrebbe utilizzarla per attività illecite.

Se si tratta di un certificato Domain-Validated (Thawte 123 o Geotrust Quick SSL) è il destinatario dell'e-mail di approvazione che deve approvare la richiesta. Subito dopo riceverà il certificato.
Per tutti gli altri certificati la sostituzione avverrà entro 24 ore, purchè non venga modificato alcun dato nella richiesta.

La sostituzione di un certificato è completamente gratuita, senza limiti temporali (anche se consigliamo di effettuarla al più presto).

No. I dati del csr e dei contatti devono rimanere gli stessi. Un cambiamento dei dati comporta l'acquisto di un nuovo certificato e dei tempi di emissione inevitabilmente più lunghi.

Sì. Raccomandiamo vivamente di reimpostare eventuali password degli utenti finali che potrebbero essere state ospitate nella zona di memoria potenzialmente colpita dalla vulnerabilità.

Ulteriori approfondimenti sull'argomento sono disponibili alle seguenti pagine Web:

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
  
  
• https://www.openssl.org/news/secadv_20140407.txt
  
  
• http://heartbleed.com/
  
  
• http://www.symantec.com/connect/blogs/heartbleed-openssl-take-action-now

Nell'Agosto del 2010 Symantec ha acquisito VeriSign Authentication Services, compresi i certificati SSL VeriSign e il simbolo VeriSign Trust Seal. Questi prodotti per la sicurezza dei siti web sono, dunque, ora offerti da Symantec.

Nella primavera del 2012 Symantec ha completato la transizione delle offerte VeriSign alla sua famiglia di prodotti per la sicurezza, Norton.

Il simbolo VeriSign, che i nostri clienti e i visitatori dei loro siti web conoscono e apprezzano, è stato rinominato Norton Secured.

Il simbolo Norton Secured, nei risultati dei motori di ricerca e sul vostro sito web, comunicherà il senso di sicurezza dei siti protetti e autenticati da Symantec.

Nell'Aprile 2012 Symantec ha aggiornato automaticamente il simbolo VeriSign in Norton Secured, combinando la forza del segno di spunta VeriSign con il valore del marchio Norton.

Ciò garantirà la sicurezza dei siti web dei nostri clienti, dalla ricerca alla navigazione, fino agli acquisti.

Da parte dei clienti che non è necessario alcun intervento: Symantec ha cambiato l'immagine elettronica visualizzata a livello globale.

L'aggiornamento è stato implementato su tutti i siti web in cui era esposto il simbolo VeriSign Secured o VeriSign Trust.

Sì, le dimensioni e i formati grafici del simbolo Norton Secured sono gli stessi in cui era disponibile il simbolo VeriSign.

No, a partire dall'Aprile 2012 il vecchio simbolo VeriSign non è stato più disponibile: per mantenere l'elevata riconoscibilità e credibilità del marchio è fondamentale che tutti i siti protetti usino lo stesso simbolo.

Symantec ha promosso e sta promuovendo ampiamente il simbolo Norton Secured e i clienti trarranno notevoli vantaggi dall'utilizzo di questo nuovo simbolo.

Alcuni siti web potrebbero utilizzare versioni datate dei simboli VeriSign; in questo caso l'aggiornamento automatico al simbolo Norton Secured potrebbe non essere avvenuto.

Se il vecchio simbolo VeriSign utilizza un file di tipo gif al posto di JavaScript è necessario un aggiornamento personalizzato.
Per controllare cliccare sul simbolo per aprire la pagina di informazioni relativa ai servizi di sicurezza Symantec presenti sul sito web. Se la pagina non viene visualizzata non si stanno ottenendo i vantaggi completi del marchio di fiducia: il simbolo deve ancora essere aggiornato .

No, quando un utente fa clic sull'icona del lucchetto, per visualizzare i dettagli del certificato SSL, l'Autorità di Certificazione radice risulta essere ancora VeriSign.

I nomi dei certificati SSL sono rimasti invariati ma hanno il marchio Symantec: ad esempio, Symantec Secure Site Pro con EV.

VeriSign Trust Seal, il nostro servizio di autenticazione per i siti web che non richiedono crittografia SSL, è diventato Symantec Safe Site e visualizza il simbolo Norton Secured.

Sì, la ricerca condotta da Symantec ha evidenziato una risposta ampiamente positiva al cambiamento del nome.

Norton è il marchio leader nella protezione delle tecnologie personali e i prodotti Norton sono utilizzati da 135 milioni di persone in tutto il mondo e distribuiti sul 60% dei PC basati su Windows.

La ricerca ha evidenziato inoltre come il 77% degli utenti abbia riconosciuto il simbolo Norton Secured ancora prima che questo fosse stato introdotto!

No, i certificati radice di VeriSign, ora forniti da Symantec, sono incorporati in un numero di applicazioni e preinstallati in un numero di dispositivi che superano quelli di qualsiasi altra autorità di certificazione.

Dopo l'acquisizione di VeriSign Authentication Services, dell'agosto 2010, Symantec ha accelerato lo sviluppo e aumentato l'investimento nei certificati SSL e Code Signing con l'obiettivo di semplificare l'esperienza utente, aggiungere ulteriore valore e migliorare l'efficienza operativa e tecnica.

Nuove funzionalità, che aggiungono valore e differenziano i prodotti, comprendono la visibilità del simbolo nelle ricerche, mediante Seal-in-Search e Norton Safe Web, nonché funzioni di rilevazione preventiva e migliore protezione dalle minacce tramite la scansione antimalware quotidiana dei siti web e la valutazione settimanale delle vulnerabilità.

Symantec, l'azienda leader per antonomasia dell'affidabilità online, protegge il 100% delle aziende Fortune 500, esamina il 30% del traffico email mondiale, sottopone a backup più della metà delle informazioni aziendali del mondo e protegge oltre 135 milioni di utenti con i prodotti per la sicurezza Norton.

Le soluzioni Symantec per la sicurezza e le suite a marchio Norton proteggono più di un miliardo di sistemi e utenti in tutto il mondo.

I prodotti Norton di Symantec sono utilizzati da 135 milioni di persone in tutto il mondo e sono presenti sul 60% dei computer basati su Windows.

Il marchio Norton è riconosciuto dagli utenti che lo percepiscono come simbolo di protezione e sicurezza della propria tecnologia personale.