Cosa significa SSL?
I recenti sviluppi della tecnologia per browser/server permettono agli "internauti" di utilizzare i servizi del Web senza preoccuparsi delle frodi elettroniche. Due esempi: il Secure Sockets Layer (SSL) sviluppato da Netscape e il Secure Hypertext Transfer Protocol (S-HTTP) sviluppato da Terisa Systems, Inc..Questi protocolli permettono alle sessioni finali d'Internet dei browser e dei server di autentificarsi l'un l'altro e di proteggere l'informazione che passa successivamente tra loro. Attraverso l'uso di tecniche crittografe come la codificazione e la firma digitale, questi protocolli rendono possibili le seguenti funzioni:
- permettono ai browser e server del Web di autenticarsi a vicenda;
- autorizzano i proprietari dei siti Web a controllare l'accesso a dei server particolari
- fanno si che informazioni confidenziali (per esempio i numeri delle carte di credito) possano essere scambiate tra browser e server, senza che siano accessibili a terzi;
- assicurano che gli scambi dei dati tra browser e server non possano essere alterati, in maniera accidentale o intenzionale.
Certificati di sicurezza
Le chiavi (keys) che stabiliscono delle sessioni sicure del Web tramite i protocolli SSL o S-HTTP si chiamano certificati di sicurezza. Senza questi certificati autentici e fidati, i protocolli SSL o S-HTTP non offrono alcuna sicurezza.
Le credenziali utilizzate per autentificare i server del Web e i loro clienti tramite dei protocolli come SSL e S-HTTP si chiamano certificati di sicurezza X.509. Un certificato pubblico di sicurezza è analogo a un passaporto nel senso che dimostra l'identità di un soggetto ed è autorizzato da un terzo organismo conosciuto nel mondo della sicurezza come Certification Authority (CA). Questo organismo certificatore può essere paragonato a un Ufficio Passaporti: verifica la tua identità, crea un documento riconosciuto e valido che certifica chi sei, e ti rilascia il documento stesso.
Autorità di certificazione e certificazione per conto terzi
Un'Autorità di Certificazione è un'autorità accreditata, responsabile dell'emissione dei certificati utilizzati per l'identificazione di una comunità d'individui, di sistemi o di altre identità che utilizzano una rete informatica.
Firmando in modo digitale i certificati emessi, l'Autorità di Certificazione unisce l'identità del possessore del certificato ad una chiave d'accesso all'interno del certificato stesso, facendosi così garante della validità di quest'ultimo. Coloro che utilizzano il network possiedono la chiave (talvolta chiamata la "root key"), e la usano per verificare certificati di altri. Così facendo hanno la sicurezza che questi certificati siamo autentiche e che si riferiscano alla persona in questione, e sanno che l'Autorità di Certificazione quale organo di fiducia si farà garante di questa certificazione. L'Autorità di Certificazione ha un ruolo cruciale nella sicurezza del Web e fa in modo che la certificazione per conto terzi sia possibile.
In un sistema di network complesso quale il Web, il modello di fiducia per conto terzi è necessario nelle numerose e dinamiche relazioni tra client e server. È possibile che i server e i client non abbiano stabilito un rapporto di fiducia reciproca; in ogni caso entrambe le parti hanno interesse ad avere trasmissioni sicure. L'Autorità di Certificazione è l'anello mancante che permette trasmissioni sicure. Avendo garanzie dall'Autorità di Certificazione e dato che questo organismo ha inoltre garantito per l'identificazione e validità di entrambe le parti, la transazione di dati può avvenire senza rischi di frode e con assoluta sicurezza.
