Il certificato SSL è stato creato e sviluppato dall’azienda Netscape e RSA Security. SSL in inglese vuol dire Secure Socket Layer. È un sistema che permette di scambiare delle informazioni tra due computer in modo sicuro. Il sistema SSL lavora in modo contemporaneo su tre livelli:
- La confidenzialità : non è possibile spiare informazioni scambiate
- L’integrità: è impossibile modificare le informazioni scambiate
- L’autentificazione: permette di verificare l’identità del programma, della persona o dell’azienda con la quale si sta comunicando.
Qualche ragione per usare il certificato SSL piuttosto che un altro certificato
- Il certificato SSL è standardizzato
- Esiste una versione free di SSL : openSSL che potete usare senza pagare royalties
- SSL è il certificato dove si è fatto più progressi è il sistema più analizzato tra tutti i suoi concorrenti, ed è stato analizzato da numerosi specialisti del decriptaggio, quindi da quel punto di vista può essere considerato come sicuro.
- È il certificato più famoso e più usato: si possono creare in modo semplice dei programmi che dialoghino con altri programmi usando il certificato SSL.
- OpenSSL è opensource: tutti possono controllare e verificare il codice (il vero segreto risiede nelle chiavi di crittografia e non nell’algoritmo in sé)
Bisogna quindi stare attenti ai sistemi di crittografia proprietari
Contrariamente a quello che si può pensare, la sicurezza di un sistema di crittografia non risiede nel segreto dell’algoritmo, ma nel segreto della chiave. Quindi bisogna dare più fiducia ai sistemi pubblicati, analizzati e molto conosciuti.
Come funzione il SSL?
Il sistema SSL consiste in due protolli:
- SSL Handshake Protocol: cioè prima di comunicare, i due programmi SSL negoziano delle chiavi e dei protocolli di crittografia.
- SSL Record protocol: una volta decisa la crittografia tutte le informazioni sono codificate con diversi controlli.
La negoziazione SSL (“handshake”)
All’inizio della comunicazione il cliente e il server si scambiano:
- La versione SSL con la quale vogliono fare gli scambi
- La lista dei metodi di crittografia (simmetriche e asimmetriche) e di firme condivise dai due(con la lunghezza di chiave)
- I metodi di decodifica conosciuto da ciacuno
- Numeri aleatori
- Certificati
Cliente e server provano ad usare il protocollo di crittografia più potente fino a trovare un protocollo comune per entrambi. Una volta che questo è fatto si può fare lo scambio.
La comunicazione SSL (“record”)
Da parte di chi spedisce dei dati con il certificato SSL:
- Frammentazione dei dati in pacchetti
- Compressione dei dati
- Firme crittografiche dei dati
- Spedizione
Da parte di chi riceve i dati con il certificato SSL
- Decodifica dei dati
- Verifica delle firme dei dati
- Decompressione dei dati
- Riassemblaggio dei dati
Come fa il certificato SSL per proteggere la comunicazione?
Per proteggere la comunicazione , il certificato SSL usa:
- Un sistema di crittografia asimmetrico (come RSA O Dffie-Hellman). Usato per generare la master key (chiave principale) che permetterà di generare al suo turno delle chiavi di sessione.
- Un sistema di crittografia simmetrico (DES, 3DES, IDEA, RC4…) che usa delle chiavi di sessione per decodificare i dati.
- Un sistema di firme crittografiche dei messaggi (HMAC, usando MD5, SHA…) per assicurarsi che i messaggi non siano corrotti.
È durante la negoziazione SSL che il cliente e il server scelgono dei sistemi comuni (crittografia asimmetrica, simmetrica, firme e lunghezza di chiave).
Nel vostro navigatore potete vedere la lista dei sistemi usati posizionando il vostro cursore sull’icona del lucchetto quando siete in una pagina https.