Quale certificato SSL scegliere?

Questa e’ la domanda che i nostri clienti ci pongono spesso quando decidono di proteggere i visitatori del proprio sito.

Tutti i certificati SSL proteggono la navigazione dell’utente finale mediante cifratura del traffico, indipendentemente dal tipo di certificato.

Esistono tre tipi di convalida, ovvero il procedimento con cui la Certification Authority ( CA ) convalida l’autenticità del richiedente il certificato.

In base al tipo di convalida, al certificato vengono aggiunte delle informazioni estese per identificare meglio il proprietario del certificato e, quindi, del sito.

• DV (Domain Validation): con questo tipo di certificato viene validato il solo dominio, ovvero si convalida che il richiedente del certificato SSL sia effettivamente l’assegnatario del dominio e ne abbia il completo controllo.

Pro: protezione del traffico, certifica il dominio, basso costo, tempi brevi di emissione (pochi minuti).

Contro: il certificato non riporta nessuna informazione estesa, come il nome del proprietario del dominio.

• OV (Organization Validation)

Con questo tipo di certificato, l’ente certificatorio ( la CA ) effettua una verifica societaria sul richiedente per garantirne l’esistenza. Le informazioni del richiedente sono contenute all’interno del certificato stesso. Chi effettua acquisti su un sito che fornisce questa tipologia di protezione ha la garanzia di acquistare da una società verificata.

Pro: protezione del traffico , costo medio, certifica il dominio e l’azienda (che viene inserita nel certificato stesso).

Contro: i tempi di emissione si allungano a 2/3 giorni, necessari per le verifiche.

• EV (Extended Validation)

Si tratta di una validazione legata all’azienda richiedente che viene sottoposta a un processo di analisi molto accurato a seguito del quale il nome dell’azienda sarà sinonimo di attendibilità. All’interno di una barra verde nel browser viene mostrato il nome stesso dell’azienda, il che garantisce al visitatore la massima attendibilità dello store dal quale sta effettuando i propri acquisti.
Pro: protezione del traffico, costo medio/alto, certifica il dominio e l’azienda (che viene inserita nel certificato stesso) e attiva la barra verde del browser.

Contro: i tempi di emissione si allungano a 2/3 giorni, necessari per le verifiche.

I certificati possono anche essere emessi con le seguenti opzioni:

• l’opzione Wildcard, che permette alle aziende di proteggere, con un solo certificato SSL, tutti i sottodomini del sito principale, ad esempio, www.dominio.it, ma anche b2b.dominio.it, e anche cloud.dominio.it, ecc…

• l’opzione SAN (Subject Alternative Name), che permette alle aziende di inserire, all’interno dello stesso certificato, fino ad un massimo di 250 domini legati alla stessa società ma con “common name” differenti (esempio: shop.primodominio.it, www.secondodominio.com).

I certificati gratuiti

I certificati SSL, come quelli di “Let’s Encrypt”, possono essere gratuiti, ovvero forniti da una CA (Certificate Authority) no-profit, creati per proteggere quei siti web che non possono permettersi di acquistarne uno. Essi però non sono considerati ottimali per portali di carattere commerciale, dove sono previste transazioni di denaro o dove al suo interno sono custoditi dati sensibili.

Let’s Encrypt, infatti, non è in grado di fornire una protezione completa, ma tutela solo il MIM (Man In the Middle), crittografando le comunicazioni. Non prevede alcun tipo di validazione, ma fa apparire semplicemente il lucchetto verde vicino all’url del sito sui browser.

Non è previsto un controllo dell’effettiva proprietà del dominio da parte di chi attiva il certificato. Apparentemente però non c’è alcuna differenza tra un Certificato SSL a pagamento e uno gratuito.

Le versioni gratuite non permettono di certificare i domini di terzo livello, hanno una validità di 90 giorni , ma la cosa più importante è che non offrono nessuna tutela dal rischio di phishing, né garanzia o supporto.