Blog dedicato al mondo delle tecnologie web, del web marketing e della programmazione web

Certificato SSL gratuito Let’s Encrypt (Domain Validated) quando e perchè sceglierlo

Panoramica sui certificati SSL e differenze tra certificati gratuiti Let’s Encrypt (Domain Validation) e Comodo SSL (Domain Control Validation ed Extended Validation)

Post del 8 Febbraio 2017 - 15:29 di Luca Di Matteo | info@lucasweb.it |

Certificato SSL gratuito Let’s Encrypt (Domain Validated) quando e perchè sceglierlo Certificare un dominio oggi sta diventando una necessità sempre più sentita per le imprese, specie dopo le dichiarazioni e le attività di Google che stanno spingendo per un web sicuro in SSL/HTTPS. C’è però un po’ di confusione in merito, sia creata dai provider che spesso non sono chiari, ma soprattutto tra gli utenti che poi alla fine non conoscendo e non affidandosi a professionisti, possono fare la scelta sbagliata e non adatta a proteggere al meglio il loro sito web.

Fino a poco tempo fa i certificati di protezione SSL erano molto costosi e prevedevano procedure molto complesse per l’ottenimento, ultimamente però i costi si sono ridotti. C’è però negli ultimi tempi un certificato che sta spopolando, quello gratuito di Let’s Encrypt, un certificato SSL di tipo Domain Validated. Let’s Encrypt è un progetto open source supportato da fondazioni ed enti di rilievo nel panorama informatico, basta guardare il loro sito per rendersene conto https://letsencrypt.org/

Ma vediamo velocemente in cosa si differenziano i certificati SSL in un linguaggio più semplice possibile e comprensibile per gli utenti. Il concetto di certificato di protezione SSL è semplice e consiste sostanzialmente nel proteggere le informazioni che si trasmettono dal nostro sito ai pc degli utenti. Queste informazioni possono essere molteplici, i dati di un form con le nostre informazioni anagrafiche e di contatto, i numeri delle carte di credito, le nostre abitudini o preferenze. I certificati possono essere sostanzialmente di tre tipi che ordiniamo per grado di sicurezza dal meno sicuro al più sicuro:

  • - Domain Validation (DV) SSL Certificates
  • - Domain Control Validation (DCV) SSL Certificates
  • - Extended Validation (EV) SSL Certificates
  • - Organization Validation (OV) SSL Certificates

Ma analizziamo nello specifico le caratteristiche di ognuno dei certificati SSL elencati.

Domain Validation (DV) SSL Certificates
Questo certificato è il più semplice e veloce da ottenere, si tratta di un certificato che certifica il dominio. E' il caso del famoso Let's Encrypt. Spesso si installa automaticamente e non necessita di particolari procedure burocratiche e non c'è alcun controllo sul proprietario/richiedente del dominio. Secondo noi è da sconsigliare per siti commerciali o comunque per siti che realmente scambiano dati importanti. E' consigliato su siti di organizzazioni noprofit per motivi economici o su siti che non raccolgono dati.
Sullo stesso sito web di Let's Encrypt (https://letsencrypt.org/) non è utilizzato il loro certificato di protezione ma la loro scelta è ricaduta, per ovvi motivi, su un certificato di protezione SSL commerciale.
Spesso viene utilizzato per proteggere i pannelli di controllo dei server di hosting di cui siamo certi dell'azienda che li fornisce e che sul suo sito ha un certificato magari commerciale che ne comprova la sicurezza e la veridicità dei dati. Non prevedono garanzie economiche in caso di attacco e furto di dati.
Tali certificati non offrono assicurazioni risarcitorie previste solitamente dagli altri tipi di certificati. In pratica si accertano solo che il sito certificato appartenga al titolare del dominio senza però un controllo diverso da quello automatico. Per questo motivo non sono in grado di "dimostrare la propria identità ad un computer remoto", semplicemente perchè non se ne accertano, garantendo solo che i dati viaggino in maniera criptata. Sulla barra degli indirizzi c'è un lucchetto verde. Nel dettaglio se si aprono le proprietà del certificato di un dominio protetto sul browser si vede:

Domain Control Validation (DCV) SSL Certificates
E' il certificato SSL commerciale forse più diffuso. La certificazione avviene da parte di una CA (autorità di certificazione) con un procedimento non completamente automatico e non esclusivamente legato al dominio. In pratica oltre alla installazione leggermente più complessa delle chiavi di autenticazione per cifrare il traffico, viene accertato tramite un controllo successivo (email, telefonico o altro) che esiste un individuo associato a quel dominio e questo da maggiore garanzia di sicurezza. Più che un livello di protezione maggiore è la tipologia di certificazione che garantisce una maggiore sicurezza per il cliente finale e che per questo ha un costo. Prevedono garanzie economiche in caso di attacco o furto di dati. Sulla barra degli indirizzi c'è un lucchetto verde.
Oltre ad essere presente nello scopo la voce “Garantisce l’identità di un computer remoto”, vediamo che c’è anche la voce “Dimostra la propria identità ad un computer remoto”, quindi avviene uno scambio tra due soggetti verificati e certificati. Solitamente offrono una garanzia economica a rimborso di eventuali frodi, da qui la grande sicurezza e fiducia.

Questi certificati danno maggiori garanzie, infatti se apriamo le proprietà del certificato, in questo caso un COMODO SSL, dal browser vediamo una voce aggiuntiva rispetto a Let’s Encrypt:

Extended Validation (EV) e Organization Validation (OV) SSL Certificates
Questi sono i certificati di protezione più sicuri e complessi da installare e ottenere. Hanno un percorso burocratico oltre che tecnico più articolato e volto a garantire una certezza dell'azienda che detiene il dominio e qundi i dati che noi inviamo. Spesso la certificazione avviene dopo invio di documentazione aziendale e contatto anche telefonico con un responsabile. Premesso che la modalità di crittografia è più o meno la stessa, c'è una differenza sostanziale, sulla barra degli indirizzi esce chiaramente non solo il lucchetto verde, ma anche il nome dell'azienda certificata in verde. Questo ovviamente dà una garanzia e una sicurezza maggiore all'utente. Prevedono garanzie economiche in caso di attacco o furto di dati.

Come fare quindi a scegliere quale tipologia di certificato utilizzare ? Semplice.
Se abbiamo un sito che non trasmette informazioni sensibili o sistemi di registrazioni a form dati, acquisti online, aree riservate crm web, insomma il classico sito web vetrina statico, può anche andare bene un Let’s Encrypt.
Oppure potrebbe essere utilizzato al massimo dai provider per i pannelli di controllo dei server (Plesk, CPanel ecc…).
Se però il nostro sito è un progetto più serio, con informazioni da tutelare sia per noi che per il cliente/utente, magari un sito di ecommerce o un software crm web personalizzato, è consigliabile utilizzare un certificato di protezione commerciale almeno Domain Control Validation (DCV) SSL Certificates.

La scelta quindi dipende un po’ dal progetto. Lasciatevi consigliare quindi da un professionista e non sempre nomi altisonanti sono sinonimo di sicurezza dei dati, anzi spesso le economie di scala e i sistemi di grandi aziende sono i più soggetti al rischio furto dati e hacking.

Se il vostro progetto web non merita la spesa di qualche decina di euro annui per proteggere i dati vostri e dei vostri clienti, probabilmente dovreste rivedere le priorità e impegnarvi per garantire maggiormente la sicurezza dei dati dei vostri utenti.

Autore: Luca Di Matteo
Email: info@lucasweb.it
Google+: https://plus.google.com/u/0/+LucaDiMatteo-it
Facebook: https://www.facebook.com/lucadimatteo?ref=bookmarks
Twitter: https://twitter.com/lucadimatteo
Condividi post sui social network
Torna alla home page del blog
Il Blog della Lucasweb

Il nuovo blog dedicato al web design, web marketing, sviluppo e programmazione web, hosting, informazioni e curiosità dal web.

Il Blog sui social network

Seguici e leggi i nostri articoli anche sui social network collegati al blog.

Seguici su Facebook Seguici su Twitter Seguici su Google+ Seguici su LinkedIn Leggi gli RSS Iscriviti alla newsletter

Iscriviti alla newsletter

Inserendo la tua email dichiari di aver letto e accettato l'informativa sulla privacy e le condizioni

Archivio post

Lista dei post presenti che potrebbero interessarti.