I browser consentono di collegarsi a un sito web in due modalità
differenti: normale e protetta.
Quando si naviga in rete in modalità normale tutte
le informazioni scambiate con il sito web al quale si è collegati risultano
comprensibili a qualunque soggetto riesca a inserirsi nella connessione.
Navigando invece in modalità protetta tutte le informazioni
scambiate risulteranno cifrate: ciò significa che nessuno, dall'esterno, sarà
in grado di comprenderle.
Un sito web sicuro è dunque quello che consente il collegamento e la sua navigazione
in modalità protetta.
Quasi tutti i principali browser (Internet Explorer, Chrome, Safari, Opera)
evidenziano la navigazione in modalità protetta mediante un lucchetto chiuso
posto accanto o all'interno della barra di navigazione.
Firefox invece, per fornire informazioni relative al tipo di connessione,
richiede di cliccare nella barra di navigazione, alla sinistra
dell'indirizzo del sito.
Il Secure Socket Layer (SSL) e il suo successore Transport Layer
Security (TLS ) sono un protocolli crittografici che
permettono una comunicazione sicura sulle reti
TCP/IP (come, per esempio, Internet) fornendo autenticazione,
crittografia e integrità dei dati.
Sviluppato da Netscape nel 1996 il protocollo SSL, poi TLS, fu
successivamente adottato, in maniera pressoché universale, come
metodo per proteggere le trasmissioni di dati in Internet.
Il protocollo TLS/SSL, supportato e utilizzato - tra l'altro - da
browser e web server, fa uso di un sistema di crittografia asimmetrica,
quindi a coppia di chiavi (pubblica e privata).
Tale sistema di crittografia fu sviluppato, nel 1978, dai ricercatori
Ronald Rivest, Adi Shamir e Leonard Adleman mediante il loro algoritmo
RSA.
Per poter avviare una connessione TLS/SSL tra un client (il browser)
e un server è necessario che almeno su quest'ultimo sia installato un
certificato digitale: un file elettronico, cioè, capace di identificare
in maniera univoca server e client.
Il certificato digitale installato sul server consente al client
di autenticare il server stesso.
I certificati digitali sono firmati, di norma, da una terza parte
affidabile e indipendente che ne garantisce la validità. Tale terza
parte si chiama Autorità di Certificazione o Certification
Authority (CA). VeriSign è la più riconosciuta CA del mondo.
Il protocollo TLS/SSL consente, come detto, comunicazioni in rete
sicure fornendo i tre seguenti importanti elementi:
1- autenticazione - un certificato digitale
per server è indissolubilmente associato a uno specifico nome di
dominio.
In particolare, prima di rilasciare un certificato digitale per
server, le CA eseguono una serie di verifiche volte a confermare
l'identità dell'organizzazione che richiede il certificato e il
suo diritto a utilizzare il dominio al quale il certificato stesso
verrà associato.
Questo legame tra il certificato e il nome di dominio offre agli
utenti la garanzia di interagire con il sito web di un'organizzazione
autorizzata e legalmente riconosciuta;
2- crittografia - attraverso il processo di cifratura
le informazioni trasmesse in rete vengono trasformate in modo tale da
risultare comprensibili, una volta decifrate, al solo destinatario.
Un certificato SSL lega un'identità a una coppia di chiavi elettroniche
che può essere usata per cifrare e firmare le informazioni trasmesse in
rete attraverso il protocollo "https";
3- integrità dei dati - i dati scambiati nelle connessioni
TLS/SSL sono protetti contro il tentativo, da parte di eventuali terzi
malintenzionati, di apportarvi modifiche durante la trasmissione.
Le parti coinvolte nella connessione sanno, dunque, con certezza che le
informazioni da loro ricevute sono esattamente quelle partite dall'altro
capo del collegamento.
Il protocollo TLS/SSL risulta essere, dunque, un mezzo estremamente potente
per la conduzione di transazioni online, autenticate e cifrate,
con i clienti del vostro sito web.
Con un certificato SSL Symantec-VeriSign installato sul vostro sito web, i vostri
utenti o i vostri clienti potranno inviarvi i numeri delle loro carte di credito,
o altre informazioni sensibili, nella più totale garanzia, non solo di interagire
realmente con voi, ma anche di trasmettere tali informazioni in modo tale che esse
non possano essere comprese, né alterate da alcuno durante la comunicazione.
Il messaggio da proteggere viene detto testo in chiaro, mentre quello
trasformato, in modo da essere incomprensibile, viene detto testo cifrato.
La trasformazione da testo in chiaro a testo cifrato si dice cifratura,
mentre la trasformazione inversa si dice decifratura.
La trasformazione crittografica è detta algoritmo di cifratura e
specifica la procedura che trasforma il testo in chiaro in quello cifrato.
Questa trasformazione è parametrica e il parametro è detto chiave:
ciò significa che la trasformazione in sé è soltanto un procedimento, il quale però
per essere attuato ha bisogno di un'informazione ulteriore da cui dipende il
risultato.
Per decifrare il messaggio non basta conoscere l'algoritmo di cifratura utilizzato, ma è necessario conoscere anche la chiave.
In genere, nello studio degli algoritmi crittografici e della loro sicurezza, si ipotizza che l'algoritmo sia noto a tutti e che ciò che non è noto sia esclusivamente la chiave: questo perché oggi si considera inaffidabile un sistema crittografico la cui sicurezza si basi sulla segretezza dell'algoritmo.
La crittografia tradizionale si basa su un meccanismo per cui cifratura e decifratura
sono effettuate utilizzando la stessa chiave: per questo si parla di
crittografia simmetrica, o anche, dato che tale chiave deve essere nota
solo ai due interlocutori, di crittografia a chiave segreta.
Un noto algoritmo di questo tipo è il DES (Data Encryption Standard).
Il grosso problema di questo approccio è però la distribuzione delle chiavi: se
due interlocutori vogliono usare un algoritmo di questo tipo, per comunicare in modo
sicuro, devono prima accordarsi in qualche modo sulla chiave, per esempio vedendosi
di persona.
Infatti, dato che il canale che usano per la trasmissione dei messaggi non è sicuro
(altrimenti non avrebbero bisogno di cifrarli), non possono utilizzarlo per trasmettere
la chiave.
Il problema è stato risolto nel decennio tra il 1970 e il 1980 con l'invenzione della crittografia asimmetrica o a chiave pubblica.
Con algoritmi di quest'ultimo tipo ogni soggetto ha due chiavi complementari: una pubblica, da distribuire a tutti quelli con cui vuole comunicare, e una privata da tenere segreta.
L'operazione di cifratura con la chiave pubblica può essere effettuata da chiunque, mentre quella mediante la chiave privata può essere fatta soltanto dal proprietario della chiave medesima.
Poiché la chiave (pubblica) è nota a tutti non esiste più il problema della sua distribuzione: per comunicare in modo sicuro con una persona basta cifrare il messaggio con la sua chiave pubblica.
Il più noto tra gli algoritmi di questo tipo è probabilmente l'RSA (dalle iniziali dei suoi tre inventori: Ronald Rivest, Adi Shamir e Leonard Adleman).
Questa sua caratteristica ha subito reso gli algoritmi di crittografia a chiave pubblica ideali per le transazioni online.
Nella crittografia asimmetrica o a chiave pubblica ogni soggetto possiede una coppia di chiavi complementari, una delle chievi è denominata pubblica e l'altra privata. Qualsiasi informazione cifrata utilizzando la chiave pubblica può essere decifrata soltanto utilizzando la corrispondente chiave privata e viceversa.
Cerchiamo di chiarire con un esempio il funzionamento del meccanismo di crittografia asimmetrica.
Bob ha due chiavi complementari: ciò che viene cifrato con una chiave può essere,
come detto, decifrato dall'altra.
Egli mantiene una delle due chiavi chiave privata (cioè segrata) e rende l'altra
disponibile a chiunque voglia scambiare messaggi, in sicurezza, con lui (chiave
pubblica).
Alice, dovendo mandare un messaggio a Bob, lo cifrerà dunque utilizando la chiave
pubblica di quest'ultimo e glielo invierà.
Bob, una volta ricevuto il messaggio di Alice, lo decifrerà con la propria chiave
privata: l'unica in grado di compiere tale operazione.
Il meccanismo crittografia a chiave pubblica presenta, rispetto a quello a chiave segreta, molti vantaggi:
Una delle grosse innovazioni indotte dalla crittografia asimmetrica è la firma digitale: il mittente di un messaggio può infatti firmarlo digitalmente grazie alla propria chiave privata (che solo lui possiede), ma chiunque è in grado di verificare l'autenticità della firma grazie alla chiave pubblica dello stesso mittente(che è globalmente nota).
La firma digitale può essere abbinata alla normale cifratura, ottenendo così messaggi
firmati digitalmente e cifrati.
Si ipotizzi che Alice voglia mandare un messaggio a Bob: per prima cosa lo cifrerà con la
propria chiave privata (firma digitale) e poi con quella pubblica dello stesso Bob (cifratura),
infine invierà il messaggio.
Quando Bob lo riceverà prima lo decifrerà con la propria chiave privata (operazione che solo lui
può fare, per cui è garantita la confidenzialità) e poi con quella pubblica di Alice: se l'operazione
andrà a buon fine Bob avrà la certezza che il mittente è realmente Alice, perché soltanto lei può aver
cifrato (firmato) il messaggio con la propria chiave privata.
In realtà il modo in cui si realizza la firma digitale è leggermente più complicato. Ciò che il mittente cifra con la propria chiave privata per garantire l'autenticità non è l'intero messaggio, ma una sua "impronta", detta digest, ottenuta mediante una particolare funzione detta di hash: il digest cifrato viene poi allegato al messaggio e ne costituisce la firma. Il destinatario calcola il digest del messaggio ricevuto (la funzione di hash è pubblica) e lo confronta con quello che ottiene decifrando con la chiave pubblica del mittente la firma allegata: se coincidono la firma è autentica.
Si potrebbe pensare che, dopo l'invenzione della crittografia a chiave pubblica, quella a chiave segreta abbia perso interesse, ma le cose non stanno così. Gli algoritmi asimmetrici sono infatti computazionalmente molto più onerosi di quelli simmetrici, per cui il loro uso risulta, in tali termini, molto più pesante. Una soluzione comunemente adottata è l'uso della crittografia asimmetrica per concordare una chiave segreta da utilizzare poi per scambiarsi i messaggi tramite un algoritmo a chiave simmetrica: in questo modo il computazionalmente pesante algoritmo a chiave pubblica viene usato solo per trasmettere una piccola quantità di dati (la chiave segreta), mentre per il resto si usa il più leggero algoritmo a chiave segreta.
I certificati digitali risolvono proprio questo problema: un certificato è infatti un documento
elettronico che lega una chiave pubblica a un soggetto.
I certificati digitali sono rilasciati da una terza parte fidata denominata Autorità di
Certificazione o Certification Authority (CA) come, per esempio, VeriSign. Prima di rilasciare un
certificato, ogni buona CA, esegue delle procedure di verifica volte allo scopo di accertare che
il soggetto richiedente sia realmente chi afferma di essere.
Un certificato con chiave pubblica contiene le seguenti informazioni:
Le Autorità di Certificazione più serie eseguono controlli molto
rigorosi prima di rilasciare un certificato.
Tali controlli, nel loro insieme detti Procedure di Validazione,
hanno lo scopo di verificare e autenticare l'identità dei soggetti che
richiedono i certificati.
Tutti i certificati rilasciati sono firmati con la chiave privata dell'Autorità di Certificazione per garantirne l'autenticità.
In genere la chiave pubblica di un'Autorità di Certificazione è ampiamente
distribuita.
La maggior parte dei browser normalmente accetta in maniera automatica i certificati
server rilasciati da Autorità di Certificazione universalmente note, come per
esempio VeriSign, dal momento che la chiave pubblica di queste CA viene installata
nei browser prima che questi ultimi siano distribuiti agli utenti.
Una Certificate Revocation List (CRL) è un elenco di certificati
digitali che sono stati revocati prima della loro scadenza. Ci sono
diversi motivi per cui un certificato deve essere revocato e inserito
in una CRL. Ad esempio la chiave privata può essersi corrotta.
Le CRL sono curate direttamente dalle Autorità di Certificazione e
forniscono informazioni sui certificati revocati rilasciati dalle
Autorità di Certificazione stesse. Le CRL in genere non elencano i
certificati scaduti; quindi i certificati revocati e nel frattempo
anche scaduti vengono rimossi dalla CRL. Nonostante le CRL vengano
distribuite, esistono anche delle Central Repositories delle CRL,
vale a dire siti che contengono le CRL più aggiornate della maggior
parte delle Autorità di Certificazione.
L'OCSP (Online Certificate Status Protocol) è un protocollo che fa parte dello standard X.509 e permette di verificare la validità di un certificato digitale senza dover ricorrere alle liste di revoca. Esso ha infatti sostituito il precedente protocollo CRL (Certificate Revocation List), presentando notevoli vantaggi rispetto a quest'ultimo.
L'architettura del protocollo OCSP è di tipo client-server: da un lato ci sono i vari client che effettuano le richieste (OCSP requests) per controllare la validità dei certificati, mentre dall'altro c'è il server (responder) che cerca di soddisfarle inviando messaggi di validità (valido, revocato o sconosciuto).
L'Online Certificate Status Protocol è lo standard emergente dell'IETF (Internet Engineering ask Force), destinato al controllo della validità dei certificati digitali nel corso di una determinata transazione. Esso permette infatti di condurre le verifiche in tempo reale, consentendo un notevole risparmio di tempo e di denaro e fornendo alle attività di e-business un sistema più rapido, semplice e affidabile rispetto a quello offerto dal tradizionale scaricamento ed elaborazione delle CRL.
I principali vantaggi del protocollo OSCP rispetto al CRL sono:
Tali procedure si articolano nei punti di seguito descritti.
(*) Per procedere al download gratuito delle nostre guide è richiesta la compilazione di un breve modulo.
Per i prodotti Secure Site with EV e Secure Site Pro with EV richiede, invece, circa 15 giorni lavorativi di tempo, sempre dall'inizio delle procedure di validazione e autenticazione.
Il certificato richiesto sarà inviato, via email, all’account del Contatto Tecnico.
Quando un utente o un cliente si collega a un sito certificato da Symentec ha la certezza, infatti, non solo di trovarsi in un sito protetto ma anche che l'organizzazione titolare è regolarmente autorizzata a esercitare quell'attività.
A livello di sicurezza c'è indubbiamente differenza tra un certificato SSL con chiave di sessione minima negoziata a 40 bit e uno a 128 bit, la più potente attualmente disponibile sul mercato!
Si parla infatti, nel primo caso, di crittografia standard, un livello consigliabile
per proteggere informazioni riservate ma con un grado di confidenzialità non particolarmente elevato,
come per esempio form di prenotazione richiedenti nulla più che dati anagrafici.
Ciò perché un hacker che abbia sufficienti motivazioni, tempo, capacità e strumenti idonei a sua
disposizione potrebbe riuscire a decifrare, in un ragionevole lasso di tempo, informazioni crittografate
a 40 bit.
Diversamente è stato calcolato che per violare un certificato con crittografia a chiave di sessione minima
a 128 bit, nota come crittografia forte, un hacker impiegherebbe milioni di anni!
La potenza della crittografia forte è infatti superiore di oltre un trilione di volte rispetto a quella
standard.
Il CSR deve essere generato sul server sul quale è ospitato il sito web che si intende certificare, utilizzando il software che il server stesso mette a disposizione.
Il CSR va generato a 2048 bit per i prodotti EV (Extended Validation) e comunque per tutti quelli per i quali è richiesta una durata superiore a un anno. Si può generare a 1024 bit per i prodotti non EV con durata di un anno.
Durante la procedura di generazione del CSR ha luogo anche la creazione della coppia di chiavi crittografiche, cioè della chiave pubblica e della chiave privata.
Una volta creata la coppia di chiavi, la chiave pubblica viene inclusa nel CSR mentre quella privata rimane sul server.
La chiave pubblica, inclusa nel CSR, viene inviata, attraverso le procedure di registrazione del sito di Trust Italia Spa, a VeriSign che provvede a firmarla con la propria chiave privata e a reinviarla, infine, sotto forma di certificato digitale.
E’ per questo motivo che il CSR e la coppia di chiavi (che, ricordiamo, è sempre univoca) devono essere generati sulla stessa macchina sulla quale il certificato verrà installato. Infatti il certificato, cioè la chiave pubblica firmata da VeriSign, dovrà essere installato in corrispondenza della rispettiva chiave privata. Nel caso in cui ciò non avvenga, la procedura di installazione del certificato non potrà in nessun caso andare a buon fine.
Per maggiori informazioni è possibile scaricare(*) la nostra Guida alla registrazione per l'acquisto online di un certificato digitale per server .
(*) Per procedere al download gratuito delle nostre guide è richiesta la compilazione di un breve modulo.
Esempi di Common Name sono, dunque, www.trustitalia.it, digitalid.verisign.com, trading.miabanca.it, secure.rsasecurity.com.
In un Common name non possono essere usati i seguenti caratteri speciali: ! @ $ & * ) ( _ # : " > ? '.
Non possono essere altresì usati indirizzi IP (per esempio 192.168.2.52), né numeri di porta (come per esempio 80 o 443),
né http:// o https://.
Nel caso in cui si desideri certificare una intranet il Common Name potrà essere composto da una sola parola, come per esempio il nome del server o localhost.
E’ importante ricordare che i certificati digitali sono, in ogni caso, specifici rispetto al Common Name per il quale vengono richiesti e rilasciati: anche nel caso di una intranet, pertanto, nel campo Common Name va specificato l’URL che gli utenti dovranno digitare per accedere alla intranet stessa.
Modificando l'indirizzo IP associato al FQDN il certificato continuerà a funzionare regolarmente.
E’ evidente la necessità di effettuare sul server tutte le modifiche di configurazione necessarie per
utilizzare il nuovo indirizzo IP.
L’accesso in https al sito sarà, naturalmente, legato ai tempi tecnici di aggiornamento del DNS.
La Server Gated Cryptography (SGC) è stata sviluppata per abilitare tutti i computer a connettersi a 128 bit: in assenza di un certificato con tecnologia SGC i browser e i sistemi operativi che non supportano la connessione a 128 bit possono connettersi solo a 40 o 56 bit.
I browser interessati dall'SGC sono Internet Explorer, nelle sue versioni dalla 3.02 alla 5.5, e Netscape, nelle sue versioni dalla 4.02 alla 4.72
I sistemi operativi interessati, invece, sono quelli Windows, 2000 rilasciati prima del marzo 2001, su cui non sia stato installato il Service Pack 2 e che utilizzano le versioni summenzionate di Internet Explorer.
Ciò infatti, oltre a non essere conforme alle policy Symantec, è assolutamente poco raccomandabile dal punto di vista della sicurezza.
Del resto, quando le chiavi private sono spostate da un server all'altro, attraverso CD o anche via rete, la sicurezza diminuisce e i controlli diventano più difficili da compiere. Condividendo uno stesso certificato su due o più server, le aziende non fanno che esporsi a rischi enormi e a complicare il controllo degli accessi a una chiave privata nel caso di danno subito da un server.
Inoltre, in tutti i casi di seguito elencati è fortemente raccomandata l'utilizzazione di un certificato diverso per ogni combinazione server/fully qualified domain name:
Il certificato di prova è a 40 bit, ha validità 14 giorni, ed è assolutamente gratuito.
Il consiglio è quello di fare sempre riferimento alle istruzioni fornite direttamente dal produttore del server per procedere all'esportazione e all'importazione di un certificato.
Il principio di base è comunque quello di effettuare una copia del certificato comprensiva della chiave privata e importarla sul server di destinazione.
Di norma si tratta di un'operazione che comporta una bassa percentuale di rischio quando il produttore dei due server è lo stesso: il passaggio a una versione più recente dello stesso server, in genere, non crea alcun problema, pur essendo sempre preferibile chiederne conferma al produttore.
Nel caso in cui si dovesse trasferire il certificato tra server incompatibili tra loro è necessario revocare il certificato stesso e sostituirlo con uno compatibile con il nuovo server.
Il primo passo da compiere, per richiedere un certificato digitale per server, è generare un CSR.
Nel corso di tale procedura ha luogo, fra l'altro, la creazione della coppia di chiavi crittografiche:
la chiave pubblica viene inclusa nel CSR mentre quella privata rimane sul server.
La chiave pubblica, inclusa nel CSR, viene inviata, attraverso le procedure di registrazione del sito di Trust Italia Spa, a VeriSign che provvede a firmarla con la propria chiave privata e a reinviarla, infine, sotto forma di certificato digitale.
Né Trust Italia né VeriSign entrano mai in possesso, né hanno in alcun modo mai accesso alla vostra chiave privata: essa viene, come detto, generata sul vostro server e non viene mai trasmessa ad alcuno.
L'integrità del vostro certificato dipende dalla cura con cui custodite la vostra chiave privata: in caso di smarrimento della chiave privata è, pertanto, necessario sostituire il certificato.
Nel caso in cui si debba utilizzare il certificato su più di un server è necessario acquistare un numero di licenze pari al numero di server.
Tali certificati permettono infatti all'utente di stabilire, già a colpo d'occhio, che il sito a cui egli sta accedendo è sicuro: ciò grazie alla semplice visualizzazione della barra dell'indirizzo che risulterà colorata di verde in tutti i principali browser di ultima generazione.
In particolare un certificato SSL Symantec con Extended Validation pone in evidenza con chiarezza:
Per rilasciare un certificato SSL conforme allo standard Extended Validation (EV) la CA deve adottare le policy stabilite e superare un Webtrust audit.
Il processo di validazione prevede che la CA autentichi l'organization name (ragione sociale) della organizzazione che richiede il certificato e la proprietà del dominio per il quale tale certificato viene richiesto.
Come per i certificati digitali non EV, anche in questo caso, le procedure di validazione si concludono con la telefonata di verifica effettuata al contatto organizzativo.
Il grande utilizzo di Internet e i frequenti casi di truffe online hanno reso gli utenti sempre più consapevoli dei rischi di una mancata protezione della loro identità durante la navigazione.
Prima di inserire dati sensibili la maggior parte degli utenti pretende, oggi, la prova dell'affidabilità del
sito web e la cifratura delle informazioni scambiate.
In assenza di tali garanzie gli utenti sono sempre più propensi ad abbandonare qualsiasi transazione in corso.
I certificati con Extended Validation offrono la verifica di una terza parte affidabile con un'evidenza visiva immediata e capace di trasmettere agli utenti sicurezza e fiducia.
Grazie alla visibilità immediata del livello di sicurezza del sito è possibile acquisire anche un vantaggio competitivo nei confronti della propria concorrenza.
Nelle situazioni in cui ci sia necessità di gestire grandi
quantità di server, Trust Italia può risolvere i problemi legati
alla richiesta ed installazione dei certificati multipli attraverso
il servizio Symantec VeriSign Managed PKI for SSL.
Tale servizio consente alle aziende più grandi di gestire l'intero
ciclo di vita dei propri certificati utilizzando direttamente la
tecnologia e le infrastrutture di Symantec. Il servizio Managed PKI
for SSL vi permette di risparmiare tempo e denaro offrendovi tutti
gli strumenti per personalizzare l'enrollment, la validazione ed il
rilascio dei certificati. Vi basterà individuare una o più persone
all'interno della vostra azienda che possano ricoprire il ruolo di
Amministratore del Servizio. Questa persona avrà la possibilità di
approvare, rinnovare, respingere ed amministrare i certificati.
I vostri utenti finali interagiranno con i form di enrollment
personalizzati per richiedere i certificati da installare sui propri
server. Quando l'Amministratore approva una richiesta, Symantec
rilascia immediatamente il certificato richiesto, risparmiando così
alla vostra azienda i 3-5 giorni lavorativi normalmente richiesti
per elaborare le richieste di certificato.
Un vantaggio fondamentale del servizio Managed PKI for SSL è che
questo offre la possibilità di controllare completamente il ciclo di
vita dei certificati: l'amministratore può infatti approvare,
respingere e revocare i certificati direttamente dal Control Center
fornito da Symantec. Il servizio inoltre, non richiede
l'installazione di software né hardware particolari che
produrrebbero solo l'effetto di rendere più complicata e farraginosa
la gestione dei certificati.
MPKI for SSL | Singoli |
Scalabile: Si rivolge alle imprese che hanno bisogno di proteggere 5 o più server. I certificati possono essere rilasciati a più domini. | I certificati vengono acquistati singolarmente |
Risparmio: Da un punto di vista economico è senz'altro più conveniente acquistare pacchetti di certificati. | Non sono previsti sconti |
Risparmio di tempo: I processi di autenticazione di Symantec sono condotti una sola volta. Dopo l'attivazione del servizio i singoli certificati possono essere richiesti e rilasciati nel giro di pochi minuti | Ogni richiesta di certificato deve essere validata dagli operatori adetti all’autenticazione e validazione, che impiegheranno 3-5 giorni lavorativi per giungere al rilascio del certificato |
Flessibile: E' possibile rilasciare certificati annuali, biennali, triennali e quadriennali. E' possibile inoltre gestire diverse tipologie di certificati ed aggiungere altre unità e domini anche dopo l'attivazione del servizio | Non hanno Web GUI per gestire i certificati |
Gestione centralizzata: Un'interfaccia web sicura e semplice per rilasciare e revocare i certificati, e per generare i report | Non hanno Web GUI per gestire i certificati |
1. Control Center – Strumento attraverso il quale è
possibile condurre le operazioni di amministrazione e controllo in
maniera centralizzata. Attraverso il Control Center potrete:
approvare o respingere le richieste di certificato in pochi minuti;
accedere a report specializzati per avere maggiori informazioni sul
ciclo di vita dei certificati; usufruire di un sistema di email
alert; scaricare la CRL (Certificate Revocation List).
2. Servizi per l'utente - "Subscriber Services"
o Possibilità di demandare la gestione del ciclo di vita dei
certificati agli utenti attraverso il vostro network
o Possibilità di richiedere, rinnovare, revocare e cercare i
certificati
o Schermate dell'enrollment e del resto della gestione
personalizzabili
o Protezione SSL
3. Certificati SSL - Il servizio MPKI for SSL vi permetterà
di gestire pacchetti di diverse tipologie di certificati
o Standard Edition: Pacchetti di unità a 40 bit.
o Premium Edition: Pacchetti di unità a 128 bit.
o Standard EV SSL : Pacchetti di unità a 40 bit con
Extended Validation
o Premium EV SSL: : Pacchetti di unità a 128 bit con
Extnded Validation
4. Possibilità di gestire i Subject Alternative Name: Il
servizio MPKI for SSL permette di attivare dei certificati dove
all’interno sono stati valorizzati i Subject Alternative Name (SAN).
E’ possibile valorizzare fino ad un massimo di 20 SAN per una
singola emissione. Per ogni SAN valorizzato verrà scalata una unità
del pacchetto di certificati attivo. In merito alle caratteristiche
tecniche, è necessario che il produttore del server software
confermi la compatibilità con l’utilizzo dei SAN.
5. Compatibilità con i browser garantita: I certificati SSL
Symantec sono compatibili con tutti i browser distribuiti a partire
dal 1995.
6. Sigillo Sito Sicuro: Il Sigillo Sito Sicuro di Symantec,
compreso in ogni servizio Managed PKI for SSL, è un marchio
registrato che potrete esporre nel vostro sito certificato. Il
Sigillo ha lo scopo di dare ai vostri utenti un'ulteriore garanzia
del fatto che si stanno connettendo ad un sito sicuro.
7. Autenticazione: L'identità di ogni Amministratore viene
autenticata dagli operatori adetti all’autenticazione e validazione
prima dell'attivazione del servizio. Le procedure di Validazione di
Symantec sono estremamente rigorose e vengono ripetute ogni anno.
8. Servizio Clienti: Potrete avvalervi della competenza e
professionalità degli operatori del Servizio Clienti di Trust Italia
per ogni dubbio o richiesta di informazioni. Potrete contattare
telefonicamente il nostro Servizio Clienti al numero 0744.545921.2
dal Lunedì al Venerdì nelle fasce orarie 9.00-13.00 e 14.00-18.00,
oppure via email scrivendo all'indirizzo supporto@trustitalia.it
Elementi chiave
• Controllo locale – In qualità di amministratore avete la
possibilità di decidere per quali server rilasciare i certificati.
• Strumenti amministrativi e report facili da usare – Avete
un accesso agevole ad una grande serie di strumenti per controllare
e gestire il vostro servizio Managed PKI for SSL. Inoltre, potete in
qualsiasi momento generare dei report in modo da tenere sotto
controllo nel dettaglio il ciclo di vita dei certificati.
• Tempi di risposta brevissimi – I vostri certificati
saranno rilasciati immediatamente alla vostra approvazione.
• Possibilità di aggiungere e rinnovare i certificati – Grazie
a tutti gli strumenti elencati fin qui – controllo locale, strumenti
di controllo, tempi di risposta - gestire anche grandi quantità di
certificati sarà facilissimo. E' possibile anche prevedere
l'aggiunta, il rinnovo o la revoca dei certificati sulla base dei
tempi che necessitano alla vostra azienda.
• Ampia infrastruttura – Il back end del servizio Managed
PKI for SSL è fornito da Symantec. Nel costo del servizio sono
compresi anche il backup offsite ed il disaster recovery.
Realizzare un tale livello di supporto all'interno della vostra
azienda sarebbe costosissimo.
• Adattabilità alla vostra struttura organizzativa – E'
possibile personalizzare le informazioni necessarie per richiedere,
rinnovare o revocare un certificato. E' possibile avere più
amministratori per un unico servizio. Gli amministratori hanno
ampio controllo su una serie di domini, o possono essere limitati
a gestire solo alcuni specifici domini. In altre parole, avete la
più ampia libertà di adeguare le funzioni del servizio Managed PKI
for SSL, alle esigenze reali della vostra azienda. Inoltre è
possibile aggiungere delle Organization al servizio, a patto che
esse abbiano un legame societario con l’azienda che ha attivato
l’MPKI for SSL, cioè facciano parte della stessa holding. In questo
modo potrete gestire con un unico servizio anche i certificati
intestati ad altre società.
Vantaggi
• Rilascio dei certificati subito dopo la richiesta: In
qualità di Amministratore del Managed PKI for SSL, potete sfruttare
il vantaggio di rilasciare i certificati entro pochi minuti dalla
richiesta. Symantec si occupa di mantenere l'infrastruttura di
back-end, compresi server di elevata potenza, linee di
telecomunicazione, memorizzazione e back up dei dati, disaster
recovery e servizio clienti.
• Gestione efficiente dei certificati: Attraverso un'unica
interfaccia potete rilasciare certificati per più server, rinnovarli
facilmente e comprarne di aggiuntivi altrettanto facilmente.
• Risparmio di denaro: Con il servizio Managed PKI for SSL,
non c'è bisogno di investire in costosi hardware, software o altri
strumenti necessari per realizzare e mantenere un sistema di
certificati per server.
• Acquisto del pacchetto di certificati in una sola semplice
fase: Il servizio Managed PKI for SSL può essere acquistato
attraverso un unico processo di enrollment. Dovrete registrarvi solo
una volta all'anno per richiedere più certificati SSL.
• Set up e configurazione facili: Inizierete a rilasciare i
certificati rapidamente e li potrete gestire con estrema rapidità
grazie all’interfaccia del Control Center, estremamente intuitiva.
Tutto ciò di cui avete bisogno è un browser e, naturalmente, una
connessione ad Internet. Symantec vi fornirà l'hardware
crittografico, le procedure di configurazione, i template per
l'enrollment e le guide per l'installazione.
Per acquistare un servizio Managed PKI for SSL potete
recarvi a
questa pagina
Per ulteriori informazioni riguardo prezzi ed offerte, potete
contattare il Telesales Department di Trust Italia al numero
0744.54591 (opzione 1) o all'indirizzo email
telesales@trustitalia.it.
Il servizio Symantec Managed PKI for SSL vi offre la possibilità di rilasciare certificati con durata annuale, biennale, triennale e quadriennale. L'emissione di tali certificati è possibile selezionando, all'interno del Control Center di gestione del servizio, nelle pagine di richiesta dei singoli certificati, la durata annuale, biennale, triennale e quadriennale. A seconda della validità che selezionerete vi verrà scalato dal servizio un corrispondente numero di unità. In altre parole, selezionando la modalità biennale o triennale, dal servizio verranno scalate rispettivamente N. 2 o 3 unità. Dunque, ad esempio, laddove ci sia la necessità di rilasciare 5 certificati biennali, dovrete acquistare un pacchetto da 10 unità.
Gli amministratori del Managed PKI for SSL hanno accesso ad una serie speciale di pagine web attraverso le quali potranno amministrare i certificati. Da queste pagine gli Amministratori potranno controllare l'autenticazione, approvazione, revoca dei certificati, oltre a generare dei report relativi all'attività svolta con i loro certificati amministratore.
Le uniche cose di cui la vostra azienda necessita per poter utilizzare un servizio MPKI for SSL sono un browser ed una connessione ad Internet. Symantec si occupa di fornirvi tutti gli altri strumenti di cui avrete bisogno per poter gestire il servizio. Tutti questi strumenti saranno forniti sempre via web in modalità protetta.
I certificati d'Amministratore sono certificati individuali di Classe 3, come anche i certificati per server emessi dall'Amministratore, che sono sempre di Classe 3.
1. L'utente genera un CSR (Certificate Signing Request)
2. Successivamente effettua l'enrollment utilizzando il link che
gli avrà indicato l'amministratore del servizio
3. Una richiesta pendente compare nel Control Center del servizio
Managed PKI for SSL
4. L'amministratore autentica l'utente e valida la sua richiesta di
certificato
5. Symantec firma il CSR ed invia il certificato così creato
all'indirizzo email dell'utente
6. L'utente riceve il certificato via email ed lo installa sul
server dove ha creato la richiesta.
P.S. Al’’interno del servizio MPKI for SSL, tra i Servizi per
l'utente, esiste il percorso per cui è possibile scaricare
direttamente dal sito, in modalità protetta, il certificato.
Tale opzione vi permetterà di prelevare il certificato subito dopo
il rilascio senza attendere i tempi di recapito dell’email di
approvazione.
Quando i clienti scaricano applicazioni online, installano plug-in e componenti aggiuntivi o interagiscono con sofisticate applicazioni Web, devono avere la certezza che il codice sia autentico e che non sia stato infettato o alterato.
Nelle tradizionali vendite di software un acquirente è in grado di verificare l'origine dell'applicazione e la
sua integrità esaminando la confezione, cosa che non è evidentemente possibile quando l'applicazione acquistata
viene scaricata attraverso la Rete.
La firma del codice crea però una sorta di contenitore digitale che indica ai clienti l'identità
dell'organizzazione o della persona responsabile del codice e conferma che questo non è stato modificato dal
momento in cui è stata applicata la firma.
Symantec Code Signing protegge il marchio e la proprietà intellettuale applicando una Firma Digitale per rendere le applicazioni identificabili e più difficili da falsificare o danneggiare.
Symantec Code Signing supporta diverse Piattaforme di firma del codice, tra le quali:
Sì, per gli sviluppatori individuali, che non sono affiliati a un'azienda, è previsto un processo di approvazione leggermente differente ma non meno rigoroso.
Per richiedere un certificato Symantec Code Signing a Titolo Individuale contattare il nostro Dipartimento Commerciale.
La firma del codice e del contenuto è basata sulla crittografia a chiave pubblica.
Gli sviluppatori e gli editori di software utilizzano quindi una chiave privata per aggiungere una firma digitale ai propri codici o ai propri contenuti. Le piattaforme software e le applicazioni utilizzano, conseguentemente, una chiave pubblica per decifrare la firma durante il download e confrontano poi l'hash utilizzato per firmare il codice con quello dell'applicazione scaricata.
Il codice firmato da uno sviluppatore attendibile potrà essere accettato automaticamente oppure sarà possibile visualizzare le informazioni sulla firma e decidere, di conseguenza, se accettarlo o meno.
Se la chiave privata viene perduta o compromessa o se le informazioni vengono modificate, è necessario revocare immediatamente il certificato di firma del codice e sostituirlo con uno nuovo.
Durante la di registrazione per l'acquisto di un certificato Code Signing Trust Italia raccoglierà le informazioni necessarie sulla vostra azienda.
Il processo di convalida può richiedere da alcune ore ad alcuni giorni, a seconda delle informazioni fornite e dalla facilità con la quale esse possono essere verificate.
La fornitura del certificato è subordinata all'effettiva ricezione, da parte di Trust Italia, del pagamento: il pagamento tramite carta di credito consente quindi un rilascio in tempi più brevi rispetto a quello tramite bonifico bancario.
Ogni certificato di firma del codice viene acquistato con un periodo di validità associato. Durante il periodo di validità il certificato digitale può essere utilizzato senza limitazioni.
Quando il certificato digitale scade, tutte le firme digitali che dipendono dal certificato digitale scadono, a meno che la firma non includa l'indicazione di data e ora.
L'opzione di indicazione di data e ora specifica quando il codice è stato firmato, consentendo così di verificare, una volta scaduto, che il certificato era valido al momento dell'apposizione della firma.
Un certificato di firma del codice deve essere acquistato e recuperato dallo stesso computer; una volta recuperato è possibile utilizzarlo anche su altri computer.
Trust Italia tuttavia consiglia agli sviluppatori, per motivi di sicurezza e di gestione, di acquistare certificati di firma del codice aggiuntivi, piuttosto che condividerli. Se un certificato viene compromesso e deve quindi essere revocato, tutte le applicazioni firmate con quel certificato verranno infatti disattivate.
In caso di problemi con il recupero del certificato, si verifichi di stare utilizzando lo stesso computer, browser e profilo di accesso utilizzati per la registrazione e l'acquisto.
La firma del codice ne assicura la provenienza e l'integrità.
Per determinare la validità della firma digitale sistemi software, applicazioni e reti di telefonia cellulare fanno affidamento sul certificato principale dall'Autorità di Certificazione emittente.
Un'Autorità di Certificazione di terze parti è chiaramente molto più attendibile di un certificato autofirmato poiché chi ha richiesto il certificato ha dovuto seguire un processo di verifica o autenticazione.
L'ubiquità del certificato principale di Symantec non ha rivali.
I certificati principali Symantec sono preinstallati sulla maggior parte dei dispositivi e sono incorporati nella
maggior parte delle applicazioni, cosicché da creare un processo di installazione trasparente e sicuro per gli utenti
finali.
Trust Italia consiglia agli sviluppatori, per motivi di sicurezza e di gestione, di acquistare certificati di firma del codice aggiuntivi, piuttosto che condividerli. Se un certificato viene compromesso e deve quindi essere revocato, tutte le applicazioni firmate con quel certificato verranno infatti disattivate.
È preferibile inoltre acquistare un certificato di firma del codice per ogni Piattaforma di sviluppo.
Per utilizzare un unico certificato su più piattaforme è necessario un processo di conversione con l'ausilio di
utilità aggiuntive.
Un certificato digitale è un file presente nel vostro
computer che ha la funzione di identificarvi. Alcune applicazioni
software fanno uso di questo file per provare la vostra identità ad
un'altra persona o ad un altro computer. Esempi:
Quando accedete al vostro conto corrente online la vostra banca deve
essere certa che siate proprio voi ad accedere ai vostri dati.
Esattamente come una patente di guida o un passaporto, il
certificato digitale garantisce la vostra identità presso la banca.
Quando inviate a qualcuno un'email importante, il vostro programma
di posta può utilizzare un certificato digitale per firmare
digitalmente la vostra email. In questo caso una firma digitale
riveste due ruoli: in primo luogo dà al destinatario la certezza che
l'email gli è stata inviata da voi, ed inoltre garantisce che il
messaggio email non è stato alterato nell'arco di tempo trascorso
tra l'invio e la ricezione.
In genere un certificato digitale contiene queste informazioni:
La vostra chiave pubblica
I vostri nome ed indirizzo email
La data di scadenza della chiave pubblica
Il nome dell'Autorità di Certificazione che ha rilasciato il vostro
certificato
Il numero di serie del certificato
La firma digitale della CA
Le applicazioni software, le reti ed i computer possono
utilizzare un certificato digitale in diversi modi:
Cifratura: è un modo per proteggere le informazioni prima
di inviarleda un computer all'altro. In genere, per cifrare un’email,
i programmi di postausano il certificato digitale che appartiene al
destinatario. Perché voiriusciate ad inviare a qualcuno un messaggio
cifrato, avete bisogno della suachiave pubblica. Questo significa
che è possibile scambiare email cifrate solocon interlocutori a loro
volta in possesso di un certificato digitale.
Autenticazione Client: è il modo in cui il 'client' può
provare la propria identità a qualcun altro o ad un computer in
formato digitale. Ad esempio, le banche online hanno bisogno di
essere assolutamente certe che chi cerca di accedere ad un conto
corrente sia realmente il titolare del conto stesso. In questo caso,
per provare la vostra identità alla banca in genere presentate un
documento di identità. Nel caso di una banca online la vostra
applicazione software presenta al server della banca il vostro
certificato digitale. Alcuni siti web, inoltre, possono richiedervi
il vostro certificato digitale prima di farvi accedere alle proprie
pagine riservate (ad esempio le pagine per iscriversi a particolari
servizi web).
Firma digitale: come una firma autografa, il certificato
digitale è la dimostrazione che una persona ha creato o quanto meno
ha dato il proprio consenso alla creazione del documento che
contiene la firma. Una firma digitale offre un maggior livello di
sicurezza rispetto ad una firma autografa, dal momento che la firma
digitale verifica sia che il messaggio firmato è stato creato da una
persona ben individuabile, sia che il messaggio non è stato
modificato né intenzionalmente né accidentalmente. Inoltre, se
firmate un documento, non potete, in un secondo momento, negare di
aver scritto e firmato quel messaggio (Non Ripudio).
I negozi virtuali, le banche elettroniche, ed altri servizi online
stanno ormai diventando sempre più comuni. Tuttavia, la vostra
diffidenza nei confronti dell'effettiva tutela della privacy e della
sicurezza può impedirvi di godere dei benefici di questi nuovi mezzi
nella vostra vita quotidiana. Un certificato digitale può essere
utile a darvi le garanzie di cui avete bisogno.
Ancora, la società per cui lavorate potrebbe avere una rete che vi
richiede di avere un certificato digitale da utilizzare con le
applicazioni che impiegate normalmente per il vostro lavoro. Dal
momento che userete questa tecnologia sul lavoro, dovrete imparare
ad usare un certificato digitale rapidamente.
I certificati digitali sono usati dai siti web e dalle applicazioni
di rete per cifrare i dati che transitano tra due o più computer.
La cifratura è uno strumento potente, ma da sola non può costituire
una protezione sufficiente per le vostre informazioni. La cifratura,
infatti, non può in alcun modo provare la vostra identità, o
l'identità di qualcuno che vi invia delle informazioni cifrate. Ad
esempio un broker finanziario che opera online può avere un sito
che cifra i dati inviati agli utenti attraverso le pagine web. Il
suo sito può addirittura richiedervi di accedere con username e
password. Tuttavia, questo genere di autenticazione è facilmente
intercettabile, e non può essere ritenuto un modo sicuro per
garantire l'identità di qualcuno. Senza misure di protezione
aggiuntive, chiunque può sostituirsi a voi online e avere accesso
alle vostre informazioni strettamente private (conto corrente online
e altri dati).
I certificati digitali rappresentano una valida soluzione a questo
problema, offrendo un mezzo elettronico per verificare la vostra
identità. I certificati digitali infatti offrono una soluzione
senz'altro più completa, garantendo l'identità di tutte le parti
coinvolte in una transazione.
In virtù del modo in cui i certificati digitali funzionano, essi
sono in grado di garantire, tra le altre cose, il cosiddetto Non
Ripudio, che fondamentalmente impedisce a chi invia un messaggio
firmato con un certificato di negare di averlo inviato. Ad esempio,
quando usate la vostra carta di credito, dovete firmare una ricevuta
che autorizza il pagamento con la vostra carta. Dal momento che la
firma della ricevuta è obbligatoria, nelle transazioni non online
potete dimostrare che qualcuno ha rubato o usato impropriamente la
vostra carta di credito confrontando la vostra firma con la sua.
Attraverso il Non Ripudio offerto dal certificato digitale, la
vostra "autorizzazione" viene data automaticamente non appena
inviate il vostro certificato digitale.
Se qualcuno riuscisse ad impossessarsi illecitamente del vostro
certificato, non potrebbe comunque usarlo, a meno che non entri in
possesso anche delle relative password e chiave privata. Ecco perché
è fondamentale che nessuno al di fuori di voi conosca la password da
voi scelta.
E' possibile ottenere un certificato digitale da
un'Autorità di Certificazione (CA). Anche la vostra società od
organizzazione può rilasciare certificati digitali attraverso un
Digital ID Center.
Quando la vostra società vi rilascia un certificato digitale vi
fornisce un mezzo per identificarvi presso altre persone della
stessa società, presso i partner della società o presso gli altri
computer del vostro network.
Se invece state per richiedere un certificato digitale per motivi
personali, dovete considerare attentamente chi volete sia la vostra
CA. Se dovete provare la vostra identità naturalmente desidererete
che il certificato sia rilasciato da una CA che sia universalmente
fidata e riconosciuta. Pensate ad esempio ad una carta di identità:
chiunque accetta questo documento perché rilasciato da
un'istituzione pubblica, attraverso procedure note a tutti. Allo
stesso modo, un certificato digitale, per poter essere accettato da
tutti (sul web) deve essere rilasciato da una CA che tutte le
aziende che operano su Internet riconoscano come fidata.
Esistono diversi modi per proteggere un certificato digitale:
Ricordate la vostra password e non comunicatela a nessun altro.
Proteggete il vostro computer dagli accessi non autorizzati.
Usate il controllo degli accessi o altri strumenti di protezione del
sistema.
Proteggete il vostro computer dai virus, che potrebbero essere in
grado di attaccare una chiave privata.
La chiave privata può essere protetta in due modi:
Quando richiedete online un certificato digitale, il vostro browser
crea una chiave privata che viene archiviata nell'hard drive del
vostro computer, in modo che voi abbiate la possibilità di
controllare l'accesso ad essa. Quando generate la chiave privata,
il software che utilizzate (come ad esempio il browser)
probabilmente vi chiederà una password, che ha lo scopo di
proteggere l'accesso alla vostra chiave privata. Per gli utenti che
usano Internet Explorer, la chiave privata è protetta dalla password
di Windows.
Un estraneo può accedere alla vostra chiave privata solo accedendo
al file in cui risiede la chiave stessa e conoscendo la password
della chiave. Alcuni software vi permettono di scegliere di non
avere una password per proteggere la chiave privata. Se scegliete di
usare questa opzione vuol dire che siete certi che nessuno avrà mai
accesso non autorizzato al vostro computer.
In generale, è molto più semplice ricorrere all'uso di una password
che non abilitare altre misure di protezione nei confronti del
vostro computer. Del resto, non usare una password significa rendere
la vostra macchina accessibile a chiunque. Ricordate che siete voi
ad avere la responsabilità di proteggere la vostra chiave privata.
Chiunque ne entri in possesso sarà in grado di riprodurre la vostra
firma e compiere ogni tipo di operazione a nome vostro.
L'autenticazione client è il processo attraverso il quale
un computer conferma la vostra identità. L'esempio seguente illustra
il modo in cui un sito web può avvalersi dell'autenticazione client.
Si badi bene tuttavia, che l'autenticazione client non si limita ai
siti web. Altre applicazioni, come ad esempio le reti, possono
ricorrere all’autenticazione client, ma il meccanismo rimane sempre
fondamentalmente lo stesso.
Quando accedete ad un sito web che richiede un certificato digitale,
il vostro browser presenta il vostro certificato al sito.
Quest'ultimo quindi visualizza le informazioni contenute nel vostro
certificato per 'capire' se siete autorizzati ad accedere o meno.
(Spesso i certificati usati per l'autenticazione client sono
chiamati certificati client.)
A seconda del vostro browser potreste dover confermare che volete
presentare il vostro certificato al sito web. In genere compare una
finestra di dialogo nella quale dovete inserire la password del
certificato (vale a dire la password della chiave privata). Dopo
aver inserito la password corretta il browser invia il vostro
certificato al sito web. Ecco perché è importante per voi proteggere
la password.
Se qualcuno venisse a conoscenza della password di accesso al vostro
certificato, ed avesse accesso al vostro computer, questi potrebbe
accedere facilmente anche alle vostre informazioni private o
compiere transazioni online, di qualsiasi natura, a vostro nome.
Non appena il sito web riceve il vostro certificato, ne verifica la
validità. In primo luogo, il sito controlla che il certificato non
sia scaduto. Inoltre il sito può prendere in considerazione la CA
che ha rilasciato il certificato. Se non la riconosce come fidata,
potrà negarvi l'accesso. Ecco spiegato il motivo per cui è
importante affidarsi ad una CA riconosciuta universalmente.
Il sito web può usare qualsiasi informazione contenuta nel
certificato digitale nel determinare che tipo di autorizzazioni
avete. In sintesi il certificato può contenere alcune o tutte le
informazioni riepilogate di seguito:
La vostra chiave pubblica
Il vostro nome
La data di scadenza della chiave pubblica
Il nome della CA che ha rilasciato il certificato
Il numero di serie del certificato
La firma digitale della CA
Varie informazioni richieste dalla CA
Dopo aver confermato la vostra identità, il sito web vi permette di
accedere.
Alcuni siti web o reti usano le informazioni contenute nel vostro
certificato per personalizzare le informazioni che vedete. Questa
personalizzazione a volte è definita controllo degli accessi, ma
fate attenzione a non confondere il controllo degli accessi con
l'autenticazione client. Quest'ultima è semplicemente una
dimostrazione della vostra identità.
Quando usate un'applicazione per firmare digitalmente un
messaggio, quello che fate in sostanza è allegare la porzione
pubblica del vostro certificato al messaggio stesso (insieme ad
altre informazioni che garantiscono l'integrità della vostra email).
Prima che l'email ed il certificato vengano inviati, il messaggio
viene sottoposto ad un processo di codifica, denominato
algoritmo di hash, attraverso il quale il messaggio che state
inviando è usato per generare matematicamente un set di caratteri
alfanumerici che possono essere creati solo a partire dal vostro
singolo messaggio.
Questo set di messaggi è definito
HYPERLINK "http://www.verisign.com/support/tlc/per/clientHelp/help/concepts/msgdigest.htm" message digest
(impronta del messaggio).
E' importante sapere che l'algoritmo di hash lavora in maniera
estremamente rapida in una direzione, ma è molto difficile che
lavori seguendo un percorso 'a ritroso'. In altre parole, il vostro
programma email può prendere il vostro messaggio, passarlo
attraverso l'algoritmo di hash, e creare rapidamente un message
digest univoco.
Tuttavia, se si disponesse solo del message digest, ci vorrebbero
anni per decifrare l'email.
Dopo aver creato il message digest, il vostro programma di posta usa
la vostra chiave privata per cifrare il message digest. Si tratta di
un passaggio fondamentale. Infatti, se voi doveste inviare l'email
ed il message digest, qualcuno potrebbe agevolmente modificare il
testo del vostro messaggio, ricreare il message digest, e poi
inviarlo come se foste voi ad inviarlo.
Il vostro programma di posta invia l'email con il certificato
digitale ed il message digest cifrato come allegati. Nessuna parte
del testo del messaggio email viene spedito criptato. Quindi, se
qualcuno volesse, potrebbe ancora leggere il contenuto del messaggio.
Quando qualcuno riceve un'email inviata da voi, il loro programma di
posta usa la chiave pubblica del vostro certificato digitale per
decifrare il message digest. Successivamente l'applicazione passa il
testo della vostra email attraverso lo stesso algoritmo di hash
usato dalla vostra applicazione. La fase successiva è costituita dal
confronto tra i due message digest. Se il message digest allegato
alla vostra email corrisponde a quello generato dal programma di
posta del destinatario, ciò vuol dire che il messaggio non è stato
alterato durante il passaggio da un computer all'altro.
Potete proteggere le vostre email nei modi che seguono:
Firmare digitalmente un messaggio, in modo che il destinatario possa
sincerarsi che il messaggio stesso è effettivamente stato inviato da
voi e non da un impostore. La firma del messaggio inoltre, assicura
l'integrità dello stesso, cioè assicura che nessuno ha alterato il
messaggio.
Cifrare un messaggio di modo che nessuno, dall'esterno, anche se
riesce ad intercettarlo, possa poi leggerlo.
E' possibile impostare la maggior parte delle applicazioni email in
modo tale che firmino o cifrino automaticamente tutti i messaggi in
uscita dalla vostra casella di posta; altrimenti, potete essere voi
a selezionare manualmente la firma e la cifratura per un messaggio,
di volta in volta.
In generale, i certificati digitali VeriSign-Trust Italia possono essere utilizzati da tutte le applicazioni per la posta elettronica che supportano il protocollo S/MIME (Secure Multipurpose Internet Mail Extensions)
Per poter prevenire un attacco a forza bruta ai danni del certificato,
ogni chiave deve avere una data di scadenza, al giungere della quale
la chiave non è più valida.
La data di scadenza è inclusa nella chiave pubblica di un certificato
digitale. Ogni browser e programma di posta verificano la validità di
un certificato accertandosi che la data in cui ricevete il certificato
(e le informazioni che questo protegge) sia compresa nel periodo di
validità del certificato stesso. Ciò significa che quando la vostra
chiave scade, ogni cosa che avete firmato con essa non sarà più
valida.
Dopo la scadenza dovete rinnovare il vostro certificato.
I certificati digitali sono validi un anno dal momento del rilascio.
Se desiderate verificare lo status del vostro certificato, ed essere
così certi in merito alla sua data di scadenza, potrete effettuare una
ricerca nel nostro Digital ID, ai seguenti indirizzi:
Classe 1: HYPERLINK "https://digitalid.trustitalia.it/c1/client/search.htm" https://digitalid.trustitalia.it/c1/client/search.htm
Classe 2: HYPERLINK "https://digitalid.trustitalia.it/c2/client/search.htm" https://digitalid.trustitalia.it/c2/client/search.htm
Classe 3: HYPERLINK "https://digitalid.trustitalia.it/c3/client/search.htm" https://digitalid.trustitalia.it/c3/client/search.htm
Se due persone vogliono scambiarsi email cifrate hanno entrambe bisogno di un certificato. Per procurarvi la chiave pubblica di un altro utente, vi sarà sufficiente chiedergli di inviarvi un'email firmata. La chiave pubblica verrà inviata automaticamente insieme all'email, e si installerà nel vostro browser. A questo punto, se volete inviare un'email cifrata, selezionate l'opzione relativa nel programma di posta, e la chiave pubblica abbinata all'indirizzo email, sarà usata per cifrare il messaggio. Una volta ricevuto questo messaggio, il destinatario dovrà utilizzare la propria chiave privata (in genere protetta con una password) per decifrarla. La chiave privata è memorizzata localmente sulla vostra macchina, e nel caso la perdiate, non potrete leggere le email cifrate.
No, non è tecnicamente possibile. L'unico modo per certificare diversi indirizzi email è richiedere un certificato per ogni singolo indirizzo. E' possibile avere più indirizzi email che fanno riferimento ad un solo account, ma nel momento in cui dovete richiedere un certificato digitale, vi verrà richiesto a quale indirizzo di posta elettronica volete associare il certificato.
No, in questo caso non è possibile inviare un messaggio cifrato se non avete il certificato digitale del destinatario. Tuttavia è possibile inviare email firmate se il destinatario, pur non avendo alcun certificato, ha un client di posta che supporta il protocollo S/MIME.
Il backup è un'operazione vivamente consigliata per avere la certezza di non perdere il proprio certificato neanche in caso di crash dell'hard drive o comunque di una rimozione accidentale del certificato dal proprio computer. In casi come questi, l'aver conservato una copia di backup del certificato in un floppy disk conservato in un luogo sicuro, vi garantirà la possibilità di continuare ad usare il vostro certificato fino alla sua naturale scadenza. Ricordate che nel caso in cui perdiate il vostro certificato senza averne fatto una copia di backup perderete la possibilità di accedere a tutte le email che sono state cifrate con la vostra chiave pubblica.
La revoca di un certificato prima della sua scadenza si rende necessaria quando, ad esempio, qualcun altro è riuscito ad entrare in possesso, o se in qualche modo avete perso la possibilità di usare il certificato ed avete bisogno di sostituirlo. Per fare degli esempi concreti, può accadere che qualcuno rubi il vostro computer contenente il certificato, che voi non avete protetto con una password. In questo caso la persona che si è impossessata del vostro certificato potrà inviare messaggi cifrati dal vostro account e 'sostituirsi a voi' in rete. In questo caso è necessaria la revoca del certificato rubato ed usato illecitamente, sostituendolo con un nuovo certificato che potrete utilizzare voi. Un altro caso in cui si rende necessaria la revoca del certificato è la perdita dello stesso in seguito ad un crash dell'hard drive e non si è in possesso di una copia di backup. In questo caso, prima di poter avere un nuovo certificato, dovrete revocare quello risultante ancora valido, anche se non più utilizzabile.
No. Durante l'enrollment per la richiesta del certificato, avete dovuto inserire una Challenge Phrase, che solo voi dovreste conoscere. Per procedere alla revoca del certificato è necessario utilizzare questa Challenge Phrase.
La Posta Elettronica Certificata (PEC) è il sistema che consente di inviare Email con Valore Legale equivalente a quello delle Raccomandate con Ricevuta di Ritorno.
Il sistema, oltre a recapitare i messaggi, produce e invia Ricevute (firmate digitalmente e marcate temporalmente) attestanti che il messaggio:
Il sistema inoltre, grazie ai protocolli di Sicurezza utilizzati, garantisce l'Integrità del contenuto rendendo impossibile la modifica dei messaggi inviati, eventuali allegati compresi.
Affinché un messaggio di PEC abbia pieno Valore Legale, come quello di una raccomandata con ricevuta di ritorno, è necessario naturalmente che venga inviato a un'altra casella di PEC: in altre parole anche quella del destinatario deve essere una casella di PEC.
La Posta Elettronica Certificata è uno strumento di indubbia utilità per tutti coloro che hanno l'esigenza di inviare e ricevere messaggi (ed eventuali allegati) con pieno Valore Legale, in modo sicuro, semplice e immediato, comodamente dal o sul proprio computer.
L'uso della PEC rispetto a quello di altri strumenti di comunicazione, quali fax e raccomandate tradizionali, consente un notevole Risparmio di tempo e denaro.
Il canone annuo di una Casella PEC è molto contenuto e fisso, indipendente cioè dalla quantità e dalla dimensione dei messaggi spediti e di quelli ricevuti.
La Posta Elettronica Certificata si utilizza come la normale posta elettronica, cioè tramite un programma Client (come, per esempio, Outlook Express o Mozilla Thunderbird) oppure tramite Webmail.
Il servizio di Posta Elettronica Certificata deve essere fornito da un Gestore facente parte dell'Elenco Pubblico dei Gestori di PEC tenuto dall'Agenzia per l'Italia Digitale.
Viene di seguito riportata una descrizione grafica del servizio di Posta Elettronica Certificata con l'evidenza di tutti gli "attori" a vario titolo coinvolti nel processo di invio e ricezione di un messaggio.
I Gestori di PEC producono avvisi, Firmati Digitalmente e Marcati Temporalmente, che vengono inviati, in caso di errore, intervenuto durante una qualsiasi delle fasi di invio o di ricezione di un messaggio di PEC, cosicché non vi siano mai dubbi sullo stato di spedizione.
Nel caso in cui il mittente dovesse smarrire una ricevuta, la traccia informatica delle operazioni svolte, conservata dal Gestore di PEC per 30 mesi, consentirà la riproduzione, con lo stesso valore giuridico, della ricevuta smarrita.
I servizi di Posta Elettronica Certificata (PEC) offerti sono:
Per l’acquisto di caselle di Posta Elettronica Certificata del tipo
È possibile attivare caselle di PEC nella seguente forma:
nomecasella@pec.nomedominio.xxx
Per attivare il servizio di Posta Elettronica Certificata è necessario inviare la documentazione di seguito indicata.
I seguenti link portano a tutte le informazioni necessarie per accedere alla propria casella di PEC tramite un Client di Posta, come MS-Outlook, MS-Outlook Express, Mozilla Thunderbird o altro:
La Piattaforma gestisce esclusivamente caselle PEC, quindi tutti i controlli relativi alla presenza di virus e/o malware sono già espletati dal Provider di PEC.
Le connessioni tra utenti e PMS sono autenticate e riservate grazie all’uso di un Certificato Server, a protezione di PMS, e di Certificati Client per l’identificazione degli utenti.
Il 7 aprile 2014 un team di ricercatori ha annunciato la scoperta di una vulnerabilità critica chiamata "The Bug Heartbleed" che coinvolge OpenSSL, una libreria software di crittografia open source largamente utilizzata.
Le versioni di OpenSSL coinvolte sono quelle comprese fra la 1.0.1 e la 1.0.1f (inclusa) che abbiano abilitata l'estensione TLS server “heartbeat”.
L'ultima versione di OpenSSL, la 1.0.1g, NON è vulnerabile in quanto fornita di patch.
Il "Bug Heartbleed" consentirebbe a dei malintenzionati di leggere la memoria dei sistemi che utilizzano le versioni del software OpenSSL coinvolte.
Il bug potrebbe pertanto mettere a rischio - potenzialmente - l'inviolabilità delle chiavi e consentire di decifrare/intercettare le comunicazioni SSL criptate. Sono a rischio anche altri dati presenti in memoria come username e password degli utenti.
Tutte le versioni di OpenSSL, dalla 1.0.1 alla 1.0.1f (inclusa) che abbiano abilitata l'estensione TLS server “heartbeat”.
Assolutamente no. Non è stato violato il protocollo SSL e non si tratta in alcun modo di una vulnerabilità legata ai certificati digitali emessi da Symantec e dai suoi brand.
Nessuno. Questa versione non è vulnerabile e non occorre prendere alcun provvedimento correttivo.
Nessuno. Questa versione non è vulnerabile e non occorre prendere alcun provvedimento correttivo.
Symantec mette a disposizione un ottimo tool che implementa la funzione di verifica della vulnerabilità.
Si trova alla seguente pagina:
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
Il primo passo da compiere è l'update di OpenSSL all'ultima versione disponibile, la 1.0.1g, che contiene la patch di sicurezza. Nel caso in cui tale operazione non fosse possibile è necessario ricompilare il codice escludendo l'estensione heartsbeats con –DOPENSSL_NO_HEARTBEATS.
Sì, è necessario sostituire il certificato in quanto il bug potrebbe aver messo a rischio la chiave privata. Dopo aver aggiornato la tua versione di OpenSSL, provvedi a generare una nuova chiave privata e a richiedere la sostituzione del certificato. IMPORTANTE: durante la generazione del csr accertarsi di inserire gli stessi dati utilizzati nella precedente richiesta.
PASSO 1
PASSO 2
Ti verrà chiesto di inserire i seguenti dati:
PASSO 3
Fare click su Continue.
PASSO 4
Appare una lista di certificati corrispondente ai criteri immessi. Fare click sul pulsante Request Access.
PASSO 5
Verrà inviata un'e-mail all'indirizzo indicato. Aprire l'e-mail ricevuta e fare click sul link presente che rimanda ai dettagli del certificato.
PASSO 6
Nel menu di sinistra fare click su Reissue Certificate. ATTENZIONE: per i certificati Symantec l'opzione non è Reissue, ma Replace.
PASSO 7
Nella pagina successiva immettere il nuovo csr e fare click su Submit.
PASSO 8
Dopo aver installato il nuovo certificato NON DIMENTICARE di revocare il vecchio accedendo alle stesse pagine sopra indicate. Si tratta di un'operazione assolutamente indispensabile. Se infatti un malintenzionato fosse venuto in possesso della vecchia chiave privata potrebbe utilizzarla per attività illecite.
Se si tratta di un certificato Domain-Validated (Thawte 123 o Geotrust Quick SSL) è il destinatario dell'e-mail di approvazione che deve approvare la richiesta. Subito dopo riceverà il certificato.
Per tutti gli altri certificati la sostituzione avverrà entro 24 ore, purchè non venga modificato alcun dato nella richiesta.
La sostituzione di un certificato è completamente gratuita, senza limiti temporali (anche se consigliamo di effettuarla al più presto).
No. I dati del csr e dei contatti devono rimanere gli stessi. Un cambiamento dei dati comporta l'acquisto di un nuovo certificato e dei tempi di emissione inevitabilmente più lunghi.
Sì. Raccomandiamo vivamente di reimpostare eventuali password degli utenti finali che potrebbero essere state ospitate nella zona di memoria potenzialmente colpita dalla vulnerabilità.
Ulteriori approfondimenti sull'argomento sono disponibili alle seguenti pagine Web:
Nell'Agosto del 2010 Symantec ha acquisito VeriSign Authentication Services, compresi i certificati SSL VeriSign e il simbolo VeriSign Trust Seal. Questi prodotti per la sicurezza dei siti web sono, dunque, ora offerti da Symantec.
Nella primavera del 2012 Symantec ha completato la transizione delle offerte VeriSign alla sua famiglia di prodotti per la sicurezza, Norton.
Il simbolo VeriSign, che i nostri clienti e i visitatori dei loro siti web conoscono e apprezzano, è stato rinominato Norton Secured.
Il simbolo Norton Secured, nei risultati dei motori di ricerca e sul vostro sito web, comunicherà il senso di sicurezza dei siti protetti e autenticati da Symantec.
Il segno di spunta VeriSign, parte del marchio di fiducia più riconosciuto
in Internet, è stato combinato con il nome leader nella protezione delle
tecnologie personali, Norton, ed è diventato Norton Secured.
Test condotti da Symantec tra gli utenti hanno dimostrato che il simbolo Norton Secured conserva l'elevato grado di riconoscimento e fiducia accumulato nel tempo da quello VeriSign. |
![]() |
Nell'Aprile 2012 Symantec ha aggiornato automaticamente il simbolo VeriSign in Norton Secured, combinando la forza del segno di spunta VeriSign con il valore del marchio Norton.
Ciò garantirà la sicurezza dei siti web dei nostri clienti, dalla ricerca alla navigazione, fino agli acquisti.
Da parte dei clienti che non è necessario alcun intervento: Symantec ha cambiato l'immagine elettronica visualizzata a livello globale.
L'aggiornamento è stato implementato su tutti i siti web in cui era esposto il simbolo VeriSign Secured o VeriSign Trust.
Sì, le dimensioni e i formati grafici del simbolo Norton Secured sono gli stessi in cui era disponibile il simbolo VeriSign.
No, a partire dall'Aprile 2012 il vecchio simbolo VeriSign non è stato più disponibile: per mantenere l'elevata riconoscibilità e credibilità del marchio è fondamentale che tutti i siti protetti usino lo stesso simbolo.
Symantec ha promosso e sta promuovendo ampiamente il simbolo Norton Secured e i clienti trarranno notevoli vantaggi dall'utilizzo di questo nuovo simbolo.
Alcuni siti web potrebbero utilizzare versioni datate dei simboli VeriSign; in questo caso l'aggiornamento automatico al simbolo Norton Secured potrebbe non essere avvenuto.
Se il vecchio simbolo VeriSign utilizza un file di tipo gif al posto di JavaScript
è necessario un aggiornamento personalizzato.
Per controllare cliccare sul simbolo per aprire la pagina di informazioni
relativa ai servizi di sicurezza Symantec presenti sul sito web. Se la pagina
non viene visualizzata non si stanno ottenendo i vantaggi completi del marchio
di fiducia: il simbolo deve ancora essere
aggiornato
.
No, quando un utente fa clic sull'icona del lucchetto, per visualizzare i dettagli del certificato SSL, l'Autorità di Certificazione radice risulta essere ancora VeriSign.
I nomi dei certificati SSL sono rimasti invariati ma hanno il marchio Symantec: ad esempio, Symantec Secure Site Pro con EV.
VeriSign Trust Seal, il nostro servizio di autenticazione per i siti web che non richiedono crittografia SSL, è diventato Symantec Safe Site e visualizza il simbolo Norton Secured.
Sì, la ricerca condotta da Symantec ha evidenziato una risposta ampiamente positiva al cambiamento del nome.
Norton è il marchio leader nella protezione delle tecnologie personali e i prodotti Norton sono utilizzati da 135 milioni di persone in tutto il mondo e distribuiti sul 60% dei PC basati su Windows.
La ricerca ha evidenziato inoltre come il 77% degli utenti abbia riconosciuto il simbolo Norton Secured ancora prima che questo fosse stato introdotto!
No, i certificati radice di VeriSign, ora forniti da Symantec, sono incorporati in un numero di applicazioni e preinstallati in un numero di dispositivi che superano quelli di qualsiasi altra autorità di certificazione.
Dopo l'acquisizione di VeriSign Authentication Services, dell'agosto 2010, Symantec ha accelerato lo sviluppo e aumentato l'investimento nei certificati SSL e Code Signing con l'obiettivo di semplificare l'esperienza utente, aggiungere ulteriore valore e migliorare l'efficienza operativa e tecnica.
Nuove funzionalità, che aggiungono valore e differenziano i prodotti, comprendono la visibilità del simbolo nelle ricerche, mediante Seal-in-Search e Norton Safe Web, nonché funzioni di rilevazione preventiva e migliore protezione dalle minacce tramite la scansione antimalware quotidiana dei siti web e la valutazione settimanale delle vulnerabilità.
Symantec, l'azienda leader per antonomasia dell'affidabilità online, protegge il 100% delle aziende Fortune 500, esamina il 30% del traffico email mondiale, sottopone a backup più della metà delle informazioni aziendali del mondo e protegge oltre 135 milioni di utenti con i prodotti per la sicurezza Norton.
Le soluzioni Symantec per la sicurezza e le suite a marchio Norton proteggono più di un miliardo di sistemi e utenti in tutto il mondo.
I prodotti Norton di Symantec sono utilizzati da 135 milioni di persone in tutto il mondo e sono presenti sul 60% dei computer basati su Windows.
Il marchio Norton è riconosciuto dagli utenti che lo percepiscono come simbolo di protezione e sicurezza della propria tecnologia personale.