Certificati digitali: cosa sono e a cosa servono

Argomenti:
Pubblicato il: 01-05-2021 20:10 , Ultimo aggiornamento: 01-05-2021 20:13

Cos’è un certificato digitale

Il certificato digitale rientra nei documenti elettronici di cui facciamo più uso nella nostra quotidianità digitale: sono moltissimi, ormai, gli ambiti in cui venga usato o richiesto un certificato del genere. Si tratta infatti di un documento elettronico che viene firmato digitalmente, il che vuol dire che il documento contiene una firma elettronica, ottenuta a sua volta mediante crittografia.

Esiste poi un’accezione ulteriore legata alla coisddetta Certificazione Digitale, che indica in generale il processo atto ad adottare la Firma Digitale e/o la Fatturazione Elettronica.

A cosa serve il certificato digitale

Senza entrare nei dettagli tecnici, almeno in questa fase, possiamo dire che il certificato digitale può essere usato per autenticare degli atti, per fare richieste ufficiali alla pubblica amministrazione (PA), per inviare fatture in modo ufficiale o per inviare “raccomandate A/R” mediante PEC. Il certificato digitale consente inoltre di funzionare correttamente a gran parte dei siti web che fanno uso di HTTPS.

Ruolo dell’autorità di certificazione (CA)

Alla base del processo di verifica ed autenticazione del certificato digitale vi è una CA (Certification Authority), ovvero un’autorità di certificazione che si interpone tra i due soggetti interessati per validare la firma ed assicurare che ogni persona coinvolta (i firmatari) siano chi dicono di essere. In qualche modo, di fatto, possiamo immaginare la CA come una sorta di “notaio digitale”, nel senso che se io devo firmare ufficialmente un documento elettronico (per esempio un contratto legalmente registrato) posso farlo con il certificato digitale, apponendo una firma elettronica che viene di fatto validata, ambo le parti, dalla CA.

Chi può usare il certificato digitale?

Le parti coinvolte nella certificazione digitale sono in genere almeno due, e possono essere aziende, persone fisiche e persone giuridiche.

Quanto dura un certificato digitale

In genere la durata è stipulata al momento della firma digitale, spesso in modo implicito, ed in modo che basti agli scopi che sono prefissi. I certificati digitali possono essere eventualmente revocati, a seconda dei casi, in caso di compromissione algoritmica o violazioni informatiche della chiave privata.

La cosiddetta marca temporale, ad esempio, permette di datare in modo sicuro qualsiasi documento, mediante crittografia e certificato digitale annesso, emesso da una CA riconosciuta giuridicamente.

Certificato digitale sui siti web

Al netto dell’uso generale dei certificati di tipo digitale che abbiamo esposto, esiste un uso implicito sul web della stessa tecnologia seppur su principi leggermente diversi e quantomeno impliciti. Il certificato digitale fa in modo, nello specifico, che chi si trova a visitare un sito come pippo.it sia sicuro, in qualche modo, che quel sito sia davvero chi dice di essere e che la connessione tra client e server sia protetta da eventuali attacchi informatici o malware.

Nota – Quando andiamo a comprare un dominio con hosting, di fatto, quasi sempre i servizi di hosting forniscono un certificato digitale HTTPS per il sito, che si può attivare con un click e senza complicazioni tecniche e che si basa quasi sempre su Let’s Encrypt.

I certificati digitali sono utili per qualsiasi sito web, ma soprattutto per i siti di e-commerce e per quelli che trattano dati sensibili; per estensione, HTTPS (il certificato digitale di HTTPS, in questo senso) è consigliato su qualsiasi sito per elevarne la qualità e la sicurezza a qualsiasi livello.

Certificati digitali e SEO

Per quanto sia una pratica raccomandata da Google, e per quanto i siti senza HTTPS vengano visualizzati con difficoltà dagli utenti dei principali browser (spesso la pagina in HTTP, senza certificato, richiede approvazione da parte dell’utente e viene sconsigliata dai browser stessi), nella pratica non tutti i siti usano HTTPS, e la situazione rimarrà così prevedibilmente ancora per qualche tempo. In teoria la mancanza di HTTPS viene vista come una “penalizzazione” da parte di Google, ma – c’è da dire – nella pratica c’è un gran numero di siti che riesce a posizionarsi lo stesso, nonostante sia senza certificato.

Il fatto che si posizionino lo stesso non vuol dire che poi, nella pratica, gli utenti possano farne uso agevolmente per quanto appena visto: per cui a mio avviso rimane una pratica raccomandata, per qualsiasi sito o blog, attivare almeno Let’s Encrypt.

Funzionamento generale di un certificato digitale

Un certificato digitale serve a garantire due cose:

  1. che ogni soggetto coinvolto sia davvero chi dice di essere e non un fake;
  2. che la comunicazione necessaria al processo di firma avvenga in modo sicuro e non intercettabile dall’esterno.

Il processo di identificazione reciproca tra i due soggetti, normalmente, non avverrebbe in modo così scontato: in una chat pubblica, ad esempio, non possiamo mai essere sicuri che chi si nasconde dietro un nickname sia davvero chi dice di essere. La certificazione digitale, con la sua complessa – quanto ormai accessibile da qualsiasi software di uso comune, o quasi – modalità di implementazione, fa in modo che entrino in gioco le cosiddette chiavi asimmetriche, assegnate ad ogni persona coinvolta nel processo di digitalizzazione sicura del documento, in modo che i due possano riconoscersi ed essere certi (o quasi) dell’identità altrui. Anche lo SPID, del resto, si basa sullo stesso principio, mediante alcuni appositi provider di identità digitale che appurano l’identità di ogni cittadino in modo sicuro da ogni punto di vista.

Apporre una firma digitale, nello specifico, coincide con il fare uso di crittografia asimmetrica.

Certificati digitali, crittografia e chiavi asimmetriche

Entrando in dettagli un po’ più specialistici, i certificati digitali si basano sulla crittografia, ovvero una serie di tecniche consolidate per garantire autenticità e riservatezza nelle comunicazioni. In particolare si sfruttano le cosiddette chiavi asimmetriche, che vengono attribuite ad entrambi i partecipanti alla “comunicazione” nel senso più generico del termine.

Anche se nella classica figura che vediamo sotto sembra che ci si riferisca all’invio di email, bisogna intendere l’invio di un “messaggio” nel senso più generico del termine. Pertanto, immaginiamo che siano Bob ed Alice a dover comunicare o stipulare un contratto mediante certificato digitale: per farlo, come prima cosa, essi avranno una rispettiva chiave pubblica assegnata ad ognuno da un software. Al tempo stesso, avranno una chiave privata per terminare con successo la comunicazione nel suo insieme. La chiave pubblica è per definizione pubblica e viene usata in questa veste per comunicare tra i soggetti “ufficiali”, mentre la chiave privata è un po’ come una password, viene usata solo internamente e non deve essere scritta in chiaro o divulgata in alcun modo. L’uso delle chiavi asimmetriche, prima che qualcuno meno esperto tema complicazioni nell’uso dei software di firma digitale ed autenticazione, è generalmente trasparente per l’utente e demandata ai software che mettono a disposizione i certificati digitali di cui parliamo.

Le due chiavi citate vengono dette asimmetriche, inoltre, con riferimento al meccanismo di sicurezza atto a validare, e al tempo stesso crittografare e decodificare, il messaggio in questione. Ricordiamo che il messaggio può essere qualsiasi cosa, in questa sede: un documento ufficiale, una mail e via dicendo. Nello specifico, questo messaggio può essere decifrato solo ed esclusivamente con la specifica e corrispondente chiave privata, e questo garantisce l’integrità del contenuto ed il fatto che non sia nè falsificabile nè intercettabile, almeno nella gran parte dei casi pratici.

Come primo passo, pertanto, Bob e Alice si scambieranno le rispettive chiavi pubbliche, atte ad avviare la comunicazione in modo sicuro. In seguito, il messaggio verrà crittografato da una parte e dall’altra, per poi entrare in ballo la chiave privata di ognuno dei due. Se la chiave pubblica è per l’appunto pubblica, e viene utilizzata per identificare in modo univoco l’utente ed accertarne l’identità ad un primo livello, la chiave privata fa in modo che la comunicazione proceda sulla stessa falsariga in modo sicuro, assicurando l’identità di entrambi – cosa che in una comunicazione su internet in chiaro non avverrebbe. Se le chiavi pubbliche sono visibili da tutti e leggibili da chiunque per facilitare l’avvio del processo, la chiave privata serve a decodificare il contenuto dopo che è stato crittografato (diversamente il destinatario vedrebbe solo una stringa incomprensibile).

Il messaggio viene poi decodificato da una parte e dall’altra, terminando così con successo la comunicazione.

 

Foto di copertina di Joseph Mucira da Pixabay

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Certificati digitali: cosa sono e a cosa servono di Salvatore Capolupo su Trovalost.it
Certificati digitali: cosa sono e a cosa servono (Guide, Assistenza Tecnica)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost