Perchè e quando scegliere un certificato SSL gratuito Let’s Encrypt oppure uno commerciale
Differenze sui certificati di protezione dei domini web e panoramica sulle diverse versioni esistenti tra gratuiti e a pagamento
Certificare un dominio oggi sta diventando una necessità sempre più sentita per le imprese, specie dopo le dichiarazioni e le attività di Google che stanno spingendo per un web sicuro in SSL/HTTPS.C’è però un po’ di confusione in merito, sia creata dai provider che spesso non sono chiari, ma soprattutto tra gli utenti che poi alla fine non conoscendo e non affidandosi a professionisti, possono fare la scelta sbagliata e non adatta a proteggere al meglio il loro sito web.
Fino a poco tempo fa i certificati di protezione SSL erano molto costosi e prevedevano procedure molto complesse per l’ottenimento, ultimamente però i costi si sono ridotti.
C’è però negli ultimi tempi un certificato che sta spopolando, quello gratuito di Let’s Encrypt, un certificato SSL di tipo Domain Validated.
Let’s Encrypt è un progetto open source supportato da fondazioni ed enti di rilievo nel panorama informatico, basta guardare il loro sito per rendersene conto https://letsencrypt.org/
Ma vediamo velocemente in cosa si differenziano i certificati SSL in un linguaggio più semplice possibile e comprensibile per gli utenti.
Il concetto di certificato di protezione SSL è semplice e consiste sostanzialmente nel proteggere le informazioni che si trasmettono dal nostro sito ai pc degli utenti.
Queste informazioni possono essere molteplici, i dati di un form con le nostre informazioni anagrafiche e di contatto, i numeri delle carte di credito, le nostre abitudini o preferenze.
I certificati possono essere sostanzialmente di tre tipi che ordiniamo per grado di sicurezza dal meno sicuro al più sicuro:
- - Domain Validation (DV) SSL Certificates
- - Domain Control Validation (DCV) SSL Certificates
- - Extended Validation (EV) SSL Certificates
- - Organization Validation (OV) SSL Certificates
Ma analizziamo nello specifico le caratteristiche di ognuno dei certificati SSL elencati.
Domain Validation (DV) SSL Certificates
Questo certificato è il più semplice e veloce da ottenere, si tratta di un certificato che certifica il dominio. E' il caso del famoso Let's Encrypt.
Spesso si installa automaticamente e non necessita di particolari procedure burocratiche e non c'è alcun controllo sul proprietario/richiedente del dominio.
Secondo noi è da sconsigliare per siti commerciali o comunque per siti che realmente scambiano dati importanti. E' consigliato su siti di organizzazioni noprofit per motivi economici o su siti che non raccolgono dati.
Sullo stesso sito web di Let's Encrypt (https://letsencrypt.org/) non è utilizzato il loro certificato di protezione ma la loro scelta è ricaduta, per ovvi motivi, su un certificato di protezione SSL commerciale.
Spesso viene utilizzato per proteggere i pannelli di controllo dei server di hosting di cui siamo certi dell'azienda che li fornisce e che sul suo sito ha un certificato magari commerciale che ne comprova la sicurezza e la veridicità dei dati. Non prevedono garanzie economiche in caso di attacco e furto di dati.
Tali certificati non offrono assicurazioni risarcitorie previste solitamente dagli altri tipi di certificati.
In pratica si accertano solo che il sito certificato appartenga al titolare del dominio senza però un controllo diverso da quello automatico.
Per questo motivo non sono in grado di "dimostrare la propria identità ad un computer remoto", semplicemente perchè non se ne accertano, garantendo solo che i dati viaggino in maniera criptata.
Sulla barra degli indirizzi c'è un lucchetto verde.
Nel dettaglio se si aprono le proprietà del certificato di un dominio protetto sul browser si vede:
Domain Control Validation (DCV) SSL Certificates
E' il certificato SSL commerciale forse più diffuso. La certificazione avviene da parte di una CA (autorità di certificazione) con un procedimento non completamente automatico e non esclusivamente legato al dominio. In pratica oltre alla installazione leggermente più complessa delle chiavi di autenticazione per cifrare il traffico, viene accertato tramite un controllo successivo (email, telefonico o altro) che esiste un individuo associato a quel dominio e questo da maggiore garanzia di sicurezza.
Più che un livello di protezione maggiore è la tipologia di certificazione che garantisce una maggiore sicurezza per il cliente finale e che per questo ha un costo.
Prevedono garanzie economiche in caso di attacco o furto di dati. Sulla barra degli indirizzi c'è un lucchetto verde.
Oltre ad essere presente nello scopo la voce “Garantisce l’identità di un computer remoto”, vediamo che c’è anche la voce “Dimostra la propria identità ad un computer remoto”, quindi avviene uno scambio tra due soggetti verificati e certificati. Solitamente offrono una garanzia economica a rimborso di eventuali frodi, da qui la grande sicurezza e fiducia.
Questi certificati danno maggiori garanzie, infatti se apriamo le proprietà del certificato, in questo caso un COMODO SSL, dal browser vediamo una voce aggiuntiva rispetto a Let’s Encrypt:
Extended Validation (EV) e Organization Validation (OV) SSL Certificates
Questi sono i certificati di protezione più sicuri e complessi da installare e ottenere. Hanno un percorso burocratico oltre che tecnico più articolato e volto a garantire una certezza dell'azienda che detiene il dominio e qundi i dati che noi inviamo. Spesso la certificazione avviene dopo invio di documentazione aziendale e contatto anche telefonico con un responsabile.
Premesso che la modalità di crittografia è più o meno la stessa, c'è una differenza sostanziale, sulla barra degli indirizzi esce chiaramente non solo il lucchetto verde, ma anche il nome dell'azienda certificata in verde. Questo ovviamente dà una garanzia e una sicurezza maggiore all'utente. Prevedono garanzie economiche in caso di attacco o furto di dati.
Come fare quindi a scegliere quale tipologia di certificato utilizzare ? Semplice.
Se abbiamo un sito che non trasmette informazioni sensibili o sistemi di registrazioni a form dati, acquisti online, aree riservate crm web, insomma il classico sito web vetrina statico, può anche andare bene un Let’s Encrypt.
Oppure potrebbe essere utilizzato al massimo dai provider per i pannelli di controllo dei server (Plesk, CPanel ecc…).
Se però il nostro sito è un progetto più serio, con informazioni da tutelare sia per noi che per il cliente/utente, magari un sito di ecommerce o un software web personalizzato, è consigliabile utilizzare un certificato di protezione commerciale almeno Domain Control Validation (DCV) SSL Certificates.
La scelta quindi dipende un po’ dal progetto. Lasciatevi consigliare quindi da un professionista e non sempre nomi altisonanti sono sinonimo di sicurezza dei dati, anzi spesso le economie di scala e i sistemi di grandi aziende sono i più soggetti al rischio furto dati e hacking.
Se il vostro progetto web non merita la spesa di qualche decina di euro annui per proteggere i dati vostri e dei vostri clienti, probabilmente dovreste rivedere le priorità e impegnarvi per garantire maggiormente la sicurezza dei dati dei vostri utenti.
Compila il modulo online, sarai ricontattato.
Autore: Luca Di Matteo
Email: info@lucasweb.it
Linkedin: https://www.linkedin.com/in/lucadimatteo/
Facebook: https://www.facebook.com/lucadimatteo
Twitter: https://twitter.com/lucadimatteo
Inserisci un commento: