Da Mai 2016, Let's Encrypt è disponibile in versione completa e offre a tutti i gestori di siti web l'opportunità di configurare un SSL gratuitamente. Ma qual è la differenza tra un certificato SSL gratuito e uno a pagamento? Tecnicamente nulla, ma organizzativamente molto di più.
La risposta più importante all'inizio: No, un certificato SSL gratuito non è più insicuro di uno a pagamento. Ma qual è la differenza chiave? In qualche modo, i certificati SSL gratuiti devono essere finanziati trasversalmente. C'è una risposta rapida anche a questo: attraverso la sponsorizzazione. Let's Encrypt mostra come funziona il sistema.
La missione dell'iniziativa Let's Encrypt può essere riassunta come segue: La comunicazione criptata dovrebbe essere un diritto fondamentale su Internet. Perché fino al 2016, gli utenti di solito dovevano pagare per la crittografia della comunicazione tra server web e browser. Il libero accesso ai certificati non era quindi garantito.
Con Let's Encrypt, però, dall'anno scorso esiste una nuova autorità di certificazione che rilascia un certificato SSL gratuito ad ogni utente e quindi rende la crittografia disponibile ad ogni proprietario di siti web in tutto il mondo. Questo cambia molto: perché con i certificati gratuiti, le richieste di HTTPS come nuovo standard sul web sono a portata di mano.
Per i gestori di negozi o aziende, il lucchetto nella linea dell'indirizzo è sempre stato un importante indicatore di fiducia - se non altro per ragioni legali. Ma in realtà ogni operatore di un sito web, sia esso blogger, freelance o proprietario di un negozio, dovrebbe fare affidamento sulla crittografia. Perché questo porta molti vantaggi - indipendentemente dal costo del certificato. Perché in termini di principi tecnici di crittografia, i tipi di certificato non differiscono.
Quindi, in questo articolo, parlerò dei benefici e delle basi tecniche dell'autenticazione e della crittografia SSL.
Un certificato SSL rende il tuo sito più sicuro e fa bene a Google.
Prima di tutto, l'aspetto della sicurezza è ovviamente decisivo in relazione a SSL. Da un lato, un certificato conferma l'autenticità del server controllato. D'altra parte, la comunicazione tra il server web e il client - cioè il browser - è criptata. Questo protegge la comunicazione da accessi e modifiche e rende quindi inaccessibili i dati personali, come l'indirizzo o le informazioni bancarie.
Un certificato SSL gioca anche un ruolo importante per l'ottimizzazione dei motori di ricerca. Anche se non si sa fino a che punto specifico SSL sia rilevante come criterio di ranking per Google, è provato che HTTPS è un segnale di ranking. Ben due anni fa, Google ha annunciato che avrebbe dato un trattamento preferenziale alle pagine criptate nei risultati di ricerca e che avrebbe gradualmente esteso questa tendenza.
Inoltre, di recente è emerso che il browser Google Chrome presto contrassegnerà le pagine non criptate con un "Non sicuro" nella barra degli indirizzi. Almeno se le pagine in cui vengono richieste password o informazioni sulla carta di credito non sono criptate. Alla conferenza degli sviluppatori Google I/O di gennaio 2016, gli sviluppatori della società di sicurezza CloudFlare hanno presentato uno screenshot che dà un'anticipazione di ciò che Google sta progettando.
Infine, Google preferisce HTTPS per il crawling.
- Anche siti assolutamente affidabili come t3n.de sono contrassegnati come non sicuri con Google Chrome. In questo caso, però, la marcatura non viene da una pagina insicura, ma dalla configurazione del mio browser quando richiamo la pagina.
Un certificato SSL rende il tuo sito web più veloce e più affidabile
HTTPS significa che la comunicazione del server web con il cliente è criptata. Tuttavia, questo non significa che SSL sia un killer di prestazioni. Al contrario: da quando esiste lo standard HTTP/2, le pagine criptate sono molto più veloci di quelle non criptate. Questo vale anche per le loro versioni mobili. Quindi, per coloro che finora si sono astenuti dalla crittografia per motivi di prestazioni, questa preoccupazione è infondata!
In definitiva, un certificato SSL ha sempre un effetto psicologico sui visitatori del tuo sito. Il simbolo del lucchetto nella barra degli indirizzi e la buona sensazione della crittografia hanno un effetto sulle conversioni. Si potrebbe pensare che la crittografia sia quindi più rilevante per i sistemi dei negozi, i fornitori di pagamento, ecc. Da quando Let's Encrypt offre certificati SSL gratuiti, anche i blogger e altri professionisti di Internet possono godere dei vantaggi di HTTPS - e senza costi aggiuntivi.
Un certificato SSL gratuito fornisce gli stessi vantaggi tecnici di un certificato SSL a pagamento.
Quando si parla delle caratteristiche di sicurezza di SSL, è importante innanzitutto distinguere tra le Autorità di Certificazione e i Certificati SSL stessi.
Un'autorità di certificazione (CA) emette certificati e li firma, cioè conferma la loro autenticità. In questo processo, i certificati sono memorizzati sul server web. Se un cliente ora visita un sito web su questo server web, questo sito web può identificarsi come il proprietario del certificato.
Il browser controlla quindi il certificato memorizzato nella pagina con l'"albero dei certificati" memorizzato con essa (vedi figura seguente). Il cosiddetto certificato radice è in cima all'albero. Tutti gli altri certificati e alla fine anche i certificati gratuiti di Let's Encrypt sono basati su questo. Se il certificato radice e tutti gli altri certificati a monte sono validi, allora viene stabilita una connessione criptata. Le autorità di certificazione sono quindi il perno della convalida del dominio. E la fiducia è la cosa più importante in questi casi.
- Questo è fondamentalmente come funziona il processo di autenticazione SSL. Che si tratti di un certificato SSL gratuito o di una controparte a pagamento.
I certificati servono a loro volta per autenticare i partner della comunicazione - cioè il server web e il browser - e per avviare il meccanismo di crittografia vero e proprio. Assicurano che il server web e il browser ricevano le chiavi pubbliche e private corrette per avviare la comunicazione protetta.
Per prima cosa, il server si autentica al cliente come titolare del certificato. Quindi viene stabilita una crittografia asimmetrica e vengono scambiate le chiavi corrispondenti. Questi permettono poi la crittografia simmetrica. Da questo momento in poi, tutte le comunicazioni tra client e server sono crittografate.
Le chiavi sono regolarmente rinnovate durante tutta la comunicazione. Così, il flusso di dati rimane protetto contro l'intercettazione e la modifica anche se un aggressore dovesse riuscire in un hacking una tantum.
Ma quanto è forte la crittografia in realtà? Questo dipende interamente dalle configurazioni del server web del rispettivo host.
- Questa figura mostra la cosiddetta catena di fiducia dei certificati Let's Encrypt. Potete vedere: i certificati Let's Encrypt sono basati su certificati radice dell'autorità di certificazione IdenTrust.
Che tu abbia un certificato SSL gratuito o meno, la fiducia è tutto
Da un punto di vista tecnico, non c'è alcuna differenza fondamentale tra i certificati SSL a pagamento e quelli gratuiti. Ciò che invece è molto diverso è l'autorità di certificazione. Le opinioni divergono sulla questione della fiducia che si può riporre nella CA.
Dietro gli organismi di certificazione classici c'è un'azienda economicamente più o meno di successo. L'oggetto del capitale più importante di questa azienda è la fiducia dei clienti e del pubblico nel tuo servizio di certificazione.
Al contrario, Let's Encrypt e la sua organizzazione madre, l'Internet Security Research Group, non è a scopo di lucro, ma persegue una missione non-profit. Tuttavia, i giganti dell'industria come Chrome, Facebook, Mozilla e Linux stanno dietro Let's Encrypt.
Così, la questione della fiducia nell'organismo di certificazione è in una certa misura una questione di giudizio: è più probabile che mi fidi dell'azienda che fa marketing per massimizzare la fiducia riposta in essa, o dell'organismo di certificazione no-profit che si basa sulla reputazione dei leader del settore che lo sostengono?
Conclusione: non ci sono quasi differenze tecniche, ma ci sono differenze organizzative.
Che venga da Comodo, Thawte e Co. o da Let's Encrypt: la crittografia SSL porta al tuo sito molti vantaggi e lo rende complessivamente più competitivo. A livello tecnico, i tipi di certificati non differiscono praticamente: HTTPS è HTTPS. La forza della crittografia, d'altra parte, ha principalmente a che fare con la configurazione del server web.
Se hai un certificato SSL gratuito, non devi preoccuparti degli svantaggi rispetto ai certificati a pagamento. Perché il punto di partenza più importante per la sicurezza dei certificati convalidati dal dominio è l'autorità di certificazione, non il certificato stesso. A quale Autorità di Certificazione affidarsi è ancora una volta una questione di discrezione. Sia l'iniziativa open source, promossa dai giganti del settore, sia l'azienda orientata al profitto, il cui valore aziendale più importante è la fiducia dei propri clienti, hanno interesse a essere considerati il più affidabili possibile.
Noi, il team di Raidboxes, abbiamo deciso di fidarci del progetto Let's Encrypt. Questo perché ci permette di trasferire i numerosi vantaggi dell'SSL direttamente - e soprattutto gratuitamente - ai nostri clienti.
