L’SSL (Secure Socket Layer) è un certificato di rete utilizzato per instaurare una comunicazione sicura tra client e server. Ciò è reso possibile dalla crittografia end-to-end che, criptando i dati in transito, non permette ai criminali informatici di poterli intercettare e decodificare.
Ma quali sono esattamente i meccanismi di funzionamento di un certificato SSL?
In questo articolo cercheremo di dare una risposta esaustiva a tale interrogativo.
Sommario degli argomenti
Per poter comprendere cosa effettivamente sia l’SSL, bisogna aver ben presente la logica di funzionamento della rete internet.
Questa, infatti, è basta su un modello che prende il nome di standard ISO/OSI (Open Systems Interconnection), ed è utilizzato per garantire il trasferimento di dati tra sistemi aperti.
Questo modello consta di uno stack (pila) di 7 layer (livelli di trasporto).
Ognuno di essi comporta l’adozione di uno specifico protocollo.
Detta in parole semplici:
Internet può essere paragonata a un intricatissimo crocevia di strade su cui viaggiano costantemente le informazioni.
Per far sì che queste possano arrivare a destinazione è necessario che vengano impacchettate correttamente al momento dell’invio, per poi essere altrettanto spacchettati all’arrivo.
Il protocollo, dunque, è un insieme di regole formalmente definite che definiscono in che modo le informazioni viaggeranno sotto forma di pacchetti di dati.
L’SSL si trova al quinto livello di questa gerarchia, agendo direttamente sul protocollo TCP (Transmission Control Protocol).
Questo è definito protocollo di livello di trasporto e, in quanto tale:
- stabilisce come creare e mantenere una connessione su cui due host (client e server) possono scambiarsi dati
- svolge anche un controllo degli errori nel flusso di dati, per garantirne l’integrità della consegna.
Quello che oggi nel linguaggio comune è denominato come SSL è in realtà il protocollo TLS (Transport Layer Security).
L’effettva implementazione dell’SSL risale agli anni ’90, quando le tre versioni rilasciate furono presto ritirate perché presentavano evidenti falle nella sicurezza. Pertanto, SSL non è che un precursore del TLS, nonostante sia quest’ultimo ad essere effettivamente impiegato oggigiorno.
Il protocollo TLS si dimostrò migliore del suo predecessore sotto vari punti di vista:
- Sicurezza crittografica: migliorò la crittografia che permise di stabilire connessioni sicure
- Interoperabilità: permise di scambiare parametri crittografici senza dover implementare altro codice
- Estensibilità: rende possibile incorporare nuove chiavi pubbliche e metodi di crittografia di massa
- Efficienza relativa: poiché le operazioni di crittografia a chiave pubblica richiedono l’utilizzo di molta CPU, il TLS introdusse un sistema di cache di sessione opzionale, in modo da ridurre il numero di connessioni che dovevano essere stabilite ex novo
Ad oggi, la versione più aggiornata del certificato è la TLS 1.3, che comporta miglioramenti nelle funzionalità, nella privacy e nella sicurezza. Più nello specifico, essa prevede:
- snellimento le fasi operative, con relativa riduzione dei tempi di caricamento delle pagine
- rimozione degli algoritmi obsoleti
- aggiornamento degli algoritmi a cifratura simmetrica, ossia privata
- modifica del concetto “suite di cifratura”, che separa il meccanismo dell’autenticazione e di scambio delle chiavi dall’algoritmo di protezione dei recordsuit
Ma come funziona esattamente il meccanismo di crittografia in questo tipo di certificati?
Cos’è una suite di cifratura? Proviamo a darne una breve spiegazione.
Una suite di cifratura è costituita dall’insieme degli algoritmi di crittografia da utilizzare per stabilire una connessione sicura.
A sua volta, un algoritmo di crittografia è una sequenza di operazioni matematiche in grado di far apparire i dati come casuali.
Solitamente, sempre per ciò che concerne la crittografia, un certificato SSL sfrutta le potenzialità di entrambe le tipologie, ovvero:
- simmetrica (detta anche a chiave privata), in cui la chiave di crittazione è la stessa di decrittazione
- asimmetrica (o a chiave pubblica/privata): prevede, appunto, una chiave pubblica che deve essere distribuita e una privata che deve rimanere segreta. Queste due chiavi sono essenzialmente interdipendenti: infatti, l’una serve per codificare, mentre l’altra per decifrare i dati. Da questo meccanismo scaturisce l’impiego delle firme digitali che attestano che un messaggio è stato generato da una determinata entità nota, così come autenticano l’identità di sistemi o utenti.
- funzione crittografica di hash: unidirezionale, trasforma una sequenza arbitraria di dati in una stringa binaria, detta valore di hash
Solitamente, poiché la cifratura asimmetrica è abbastanza lenta, i dati vengono dapprincipio crittografati con algoritmo simmetrico.
Successivamente, dato che quest’operazione ha generato una chiave relativamente corta, la crittografia asimmetrica si occuperà di crittografare quest’ultima, anziché partire dai dati originari.
A queste caratteristiche, se ne aggiunge un’ulteriore, ossia il certificato X.509, facente parte degli standard x.500, che inerisce i servizi di directory. Il certificato X.509 è un documento digitale che attesta l’identità assoluta del richiedente con la sua chiave pubblica.
E’ una componente tecnica imprescindibile per un certificato SSL.
Gli handshake sono una serie di messaggi (o datagrammi scambiati tra client e server).
Solitamente lo schema di funzionamento dell’handshake TLS dipende dall’algoritmo di cifratura che è stato impiegato.
Nonostante ciò, si può considerare lo schema generale basandosi sull’RSA (Rivest, Shamir e Adleman): un algoritmo a chiave asimmetrica comunemente utilizzato.
- Invio del messaggio “ClientHello” in cui, appunto, il client manda un messaggio al server. In esso saranno contenuti:
- La versione TLS supportata dal client
- Le suite di crittografia supportate
- Una stringa casuale di byte detta “clienthello.random”
- Messaggio “ServerHello” in cui il server invia un messaggio contenente
- il certificato SSL
- la suite di cifratura scelta dal server
- e la stringa “serverhello.random”
- autenticazione: il client verifica il certificato SSL del server e l’Autorità di certificazione che l’ha rilasciato. In tal modo riceve una conferma dell’identità del server
- segreto premaster: si tratta di un’altra stringa casuale crittografata con la chiave pubblica inviata dal client e può essere decrittografata solo con la chiave privata del server
- il server decritta il segreto premaster utilizzando la sua chiave privata.
- creazione chiavi di sessione: vengono create queste chiavi sia dal client che dal server a partire dalla stringa casuale client, stringa casuale server e segreto premaster
- sia il client che server inviano il messaggio “terminato” che viene crittografato con una chiave di sessione
- ottenimento della crittografia simmetrica: qui ha termine l’handshake e la comunicazione può tranquillamente procedere con le chiavi di sessione
In base alle funzionalità e al livello di sicurezza, si possono distinguere diverse tipologie di certificato SSL/TLS.
Qui di seguito ne riportiamo le principali:
- Certificati con convalida dell’organizzazione (OV SSL)
- Unified Communications Certificate (UCC)
- A convalida estesa (EV SSL)
- Certificati SSL con caratteri jolly
- Certificati SSL multidominio (MDC)
- Con convalida del dominio (DV SSL)
Le motivazioni alla base dell’adozione di un certificato SSL nel proprio sito web sono molteplici e comprendono:
-
Maggiori garanzie di cybersicurezza
-
Miglior posizionamento sui motori di ricerca grazie alla SEO (Search Engine Oprimization).
Nel concreto, ciò che fanno i vari browser web, Google in primis, è “premiare” l’adozione del protocollo sicuro.
-
Nessun pericolo che il proprio sito venga classificato come sito web non sicuro.
Onorato informatica servizi di Cybersicurezza per le aziende
Onorato informatica è un’azienda specializzata in cyber security dal 2006.
Contattaci per scoprire i nostri servizi di Ethical Hacking, e affida a noi la gestione della tua sicurezza in rete.
La nostra azienda, certificata ISO 9001, ISO 27001 e azienda etica, ha sede centrale a Mantova e uffici cyber security a Parma, Milano e Los Angeles.
- Autore articolo
- Ultimi articoli
Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.
