Durante una negoziazione SSL, bisogna assicurarsi dell’identità delle persone con le quali si comunica. Come essere sicuro che il server con il quale sono in comuncazione è quello che dice di essere?
È proprio in quel momento che intervengono i certificati. Al momento di connettersi ad un server web sicuro, quest’ultimo vi manderà un certificato contenente il nome dell’azienda il suo indirizzo, ecc… funziona come una sorta di documento di identità.
E quindi come si fa a verificare l’autenticità di un documento di identità?
Attraverso le PKI (Public Key Infrastructure), sono delle aziende esterne (alle quali si fa affidamento in modo implicito ), che verificheranno l’autenticità del certificato (la lista di quelle PKI è inclusa nel vostro navigatore. Ad esempio abbiamo VerSign, Thawte, ecc…)
Quei PKI firmano la crittografia dei certificati (e si fanno pagare per questo).
Qualche esmpio dell’utilizzo di SSL: HTTPS, SSH, POPS
SSL può essere usato per rendere sicuro praticamente qualsiasi protocollo TCP/IP.
Certi protocolli sono stati particolarmente modificati per sopportare SSL:
- HTTPS: è un http+SSL. Questo protocollo è incluso in praticamente tutti i navigatori, e permette ad esempio di consultare i suoi movimenti bancari accedendo alla sua banca via internet in tutta sicurezza.
- FTPS: è un’estensione di FTP (File Transfer Protocol) usando SSL.
- SSH: (Secure Shell) permette di conettersi ad un ordinatore distante in modo sicuro e di aver una linea di comandi. SSH possiede delle estensioni per assicurare la sicurezza di altri protocolli. (FTP, POP3 o lo stesso windo).
È anche possibile rendere sicuro dei protocolli creando dei tunnel SSL. Una volta il tunnel creato, si può fare passare qualsiasi protocollo al suo interno (SMTP, POP3, http, NNTP…) tutti i dati scambiati seguono una logica di crittografia automatica.
Se vedo il lucchetto vuole dire che è sicuro?
Il lucchetto indica che le comunicazioni tra il vostro navigatore e il sito web sono sicure cioè nessuno le può spiare e nessuno le può modificare . Ma non garantisce nient’altro.
Facciamo un esempio il furgone con il protocollo di sicurezza HTTPS (il lucchetto) il furgone blindato assicura il transporto e solo quello.
Non garantisce il fatto ad esempio che la banca usi la cassa forte migliore”. Poi il furgone blindato non garantisce che la banca non faccia degli investimenti sbagliati. Quindi il furgone blindato può solo garantire il transporto.
È la stessa cosa con HTTPS (il piccolo lucchetto che vediamo sul nostro navigatore).
k.k