Sicurezza  »  Articoli  »  Suggerimenti di protezione 

Validità dei certificati

Durante la navigazione può capitare di visitare un sito con un certificato segnalato dal browser come non valido. Su Firefox potrebbe essere visualizzata una schermata simile alla seguente:

Figura 3: Certificato non valido su Firefox

Mentre su Internet Explorer verrebbe visualizzata una schermata del genere:

Figura 4: Certificato non valido su Explorer

Cosa fare in presenza di queste segnalazioni? Le azioni da compiere dipendono da diversi fattori dipendenti sia dal motivo della segnalazione di non validità sia dalle competenze tecniche dell'utente. Possiamo ricondurre i motivi di segnalazione di mancata validità di un certificato ai seguenti casi:

L'Autorità di certificazione non è tra quelle riconosciute dal browser. In questo caso è opportuno diffidare dal sito, a meno che non siamo sicuri dell'identità di chi ha emesso il certificato. Ad esempio, in determinate situazioni il certificato viene emesso dallo stesso possessore (una sorta di autocertificazione): si tratta di situazioni in cui i servizi proposti dal sito sono rivolti non al pubblico ma ad una ristretta cerchia di utenti. In questo caso la scelta di continuare l'interazione con il sito dipende dal nostro grado di confidenza con il sito stesso e con i suoi gestori

Il dominio associato al certificato non corrisponde al dominio del sito a cui si è collegati. Anche questa situazione è da affrontare con molta cautela. È opportuno in questi casi aprire il certificato e verificare il dominio a cui è associato. Può talvolta capitare che un sito sia accessibile con due domini, supponiamo www.dominio.com e www.dominio.it, ma che il certificato sia associato soltanto al dominio www.dominio.it. Se accediamo al sito tramite https://www.dominio.com otterremo una segnalazione di questo tipo, anche se in realtà il sito con cui interagiamo è lo stesso.

La data di validità del certificato è scaduta. Come abbiamo visto prima, un certificato ha un periodo di validità fissato. Normalmente la durata è espressa in anni: uno, due e talvolta anche tre anni. Per garantire una maggiore sicurezza sarebbe buona norma che la validità del certificato durasse il minor tempo possibile. Questo per consentire un rinnovo più frequente delle chiavi necessarie per la crittografia. In linea di massima il fatto che un certificato sia scaduto non rappresenta di per sé una situazione particolarmente grave, soprattutto se è scaduto da poco tempo. Una segnalazione del genere può essere considerato un avvertimento che ci invita a verificare da quanto tempo il certificato è scaduto per stabilire se proseguire con la navigazione o meno. In ogni caso un sito con un certificato scaduto non offre un bel biglietto da visita...

Il certificato è stato revocato. Questa situazione rappresenta probabilmente la situazione più grave. Infatti un certificato viene revocato dall'Autorità di certificazione se, dopo l'emissione, viene rilevato qualche anomalia nella verifica dell'identità del richiedente o se si è verificato qualcosa che non rende più veritiere le informazioni presenti nel certificato. Ad esempio, nel caso di un certificato intestato ad un'azienda potrebbe essere cambiata la ragione sociale o l'azienda potrebbe non esistere più.

In queste situazioni è sempre meglio diffidare del sito su cui si sta navigando.

Conclusioni

Come abbiamo avuto modo di vedere in questa breve panoramica, la sicurezza nella trasmissione dei dati sul Web non è data soltanto dalla loro codifica tramite algoritmi evoluti. È altrettanto importante identificare con certezza il destinatario dei dati. La tecnologia dei certificati digitali e l'infrastruttura di fiducia verso le Autorità di certificazione ci consentono di ottenere questa forma di identificazione. In ogni caso l'utente deve essere in grado di comprendere ed interpretare correttamente quello che strumenti come i browser ci segnalano sfruttando tali tecnologie.

Altri articoli

Altre guide

Altre newsletter