Scopriamo insieme cosa sono i certificati root e in cosa differiscono dai certificati intermedi.
Probabilmente, avrete sentito parlare di certificati radice, intermedi ed SSL, e può darsi che non vi siano ancora chiare le differenze. La maggior parte delle persone, quando usa internet, non pensa all’integrità dei dati, alla privacy o all’autenticazione delle entità e dei servizi.
Per fortuna, e proprio affinché l’utente finale non debba pensarci continuamente, esistono questi tipi di certificati per garantire la sicurezza e verificare l’autenticità dei soggetti che comunicano online.
In questo post parliamo di certificati root o radice, delle differenze con i certificati intermedi e del perché sono importanti per la nostra esperienza online. Continua a leggere!
Cos’è un certificato radice?
Un certificato radice o certificato root è un certificato digitale che può essere utilizzato per emettere altri certificati all’interno del sistema TLS/SSL. Questi certificati vengono emessi da una Certification Authority (CA), ovvero un’autorità certificativa, che è l’unico soggetto con le garanzie giuridiche abilitato a emettere certificati SSL autentici.
I certificati root sono il componente più importante di quella che viene chiamata PKI, Public Key Infrastructure, ovvero l’infrastruttura a chiave pubblica. Le chiavi private, simili a password crittografate, servono a firmare i certificati. La firma indica ai browser degli utenti che un certificato è attendibile, eliminando la necessità di effettuare varie fasi di autenticazione.
Questi certificati vengono archiviati nei dispositivi. Ogni root store contiene vari certificati precaricati che vengono utilizzati per avviare programmi radice su dispositivi e browser.
Catena di certificati e certificati radice singoli
Esistono due grandi categorie di certificati radice: i certificati concatenati, che appartengono a una catena di certificati, e i certificati singoli, che invece non sono inclusi in una catena di certificati.
Le catene di certificati e i certificati singoli differiscono in base a:
- Come vengono installati
- La stabilità della certificazione
- Quando e come scadono
- Il tipo di firma che ricevono
Entrambi sono in grado di firmare ed emettere altri certificati digitali, ma i certificati delle catene utilizzano i certificati intermedi per firmare le entità finali.
Cos’è un certificato intermedio?
È un certificato digitale utilizzato come intermediario tra un certificato radice e i certificati delle entità finali. Molte CA consentono ai certificati intermedi di verificare e autenticare le richieste prima di contattare il certificato radice.
La Certification Authority firma il certificato intermedio con una chiave privata, facendogli ereditare la sua attendibilità. A questo punto, il certificato intermedio può utilizzare la propria chiave privata per firmare i certificati dell’entità finale. Durante questo processo, possono essere coinvolti più certificati intermedi.
Cosa sono le catene di certificati?
Sono i collegamenti tra il certificato radice attendibile e la sua entità finale. I certificati radice, i certificati intermedi e le entità finali possono appartenere a una catena di certificati. In aggiunta, una catena di certificati include:
- I dettagli della CA emittente
- Emittenti e soggetti correnti e successivi
- Firme dei certificati
- Ultimo certificato, noto anche come trust anchor
La catena di certificati si attiva quando un browser cerca di verificare la validità di un certificato, ovvero quando l’utente arriva su una pagina web. A questo punto, vengono eseguiti i seguenti passaggi:
- Viene generata una richiesta di firma del certificato (CSR).
- Il certificato radice crea una chiave privata.
- La CSR viene inviata alla CA.
- La CA utilizza la chiave privata per firmare un certificato SSL.
- Il browser verifica l’attendibilità del certificato grazie alla firma della CA.
Se è necessario un certificato intermedio, questo sarà stato firmato precedentemente dal certificato radice, prima di poter iniziare a firmare i certificati SSL. Questo modello di attendibilità è stato progettato per consentire ai browser di riconoscere i siti sicuri per gli utenti e comunicare loro i casi in cui non è in grado di verificare l’attendibilità dei certificati.
LEGGI ANCHE: Cos’è la cifratura dei dati
Differenze fra i certificati radice e quelli intermedi
Come abbiamo visto, hanno la stessa funzione: consentire ai browser di verificare l’attendibilità dei certificati presentati dalle pagine web. Tuttavia, ci sono alcune differenze tra questi due tipi di certificati:
Valore
Hanno un valore diverso all’interno della catena di certificati. I certificati intermedi valgono di meno rispetto ai certificati radice, che invece vengono automaticamente considerati affidabili dai browser.
Emissione
Entrambi possono emettere certificati SSL. Tuttavia, i certificati intermedi devono essere firmati dalla CA per firmare a loro volta i certificati delle entità finali, mentre i certificati radice possono emettere automaticamente altri certificati digitali.
Nome
I certificati radice sono autofirmati, ovvero i campi Emesso a ed Emesso da coincidono. Per i certificati intermedi, invece, utenti ed emittenti sono diversi.
Percorso di certificazione
I certificati root sono in cima al percorso di certificazione del modello di attendibilità. Possono firmare ed emettere altri certificati senza la necessità di altre entità secondarie. Se la CA firma un certificato intermedio, invece, questo appare più in basso nel percorso di certificazione, dopo il certificato radice. Inoltre, un percorso può includere più certificati intermedi.
Firma
Per firmare i certificati degli intermediari, i certificati radice utilizzano le chiavi private. Queste sono più sicure rispetto alle chiavi singole utilizzate dai certificati intermedi per firmare altri certificati, compresi quelli degli end point.
Pericolosità
Se un certificato intermedio viene danneggiato, non può più essere utilizzato e viene rimosso per prevenire altri danni. Invece, i danni a un certificato radice sono più pericolosi perché possono consentire agli hacker di accedere all’intero sistema, ed è per questo che i certificati radice normalmente vengono archiviati offline.
Scadenza
I certificati radice possono valere per 10 o 20 anni, mentre i certificati intermedi scadono dopo uno o due anni.
Domande frequenti sui certificati radice
I certificati digitali e i sistemi di crittografia asimmetrica sono strumenti un po’ astratti e possono essere difficili da comprendere. Per questo motivo, concludiamo il post con le risposte ai dubbi più comuni sui certificati radice:
A cosa serve un certificato radice?
I certificati radice servono per verificare che un’entità, ad esempio un sito web, sia chi dice di essere, ovvero per verificare la sua identità online.
Dove possono trovare i certificati radice
Dipende dal browser, ma in generale puoi seguire questi passaggi per vedere il certificato di un sito:
- Fai clic sull’icona del lucchetto accanto all’URL nel browser.
- Seleziona La connessione è sicura.
- Seleziona Il certificato è valido.
- Nella sezione Generali del popup, puoi consultare il nome dell’entità che ha rilasciato il certificato, la validità, il tipo di certificato altre informazioni.
Quando è necessario un certificato radice?
È necessario per verificare l’autenticità di altri certificati intermedi o delle entità finali.
Abbiamo visto cos’è un certificato radice, in cosa differisce da un certificato intermedio e a cosa servono i certificati nell’ambito della sicurezza online. I certificati digitali sono uno dei pilastri dei sistemi di verifica dell’attendibilità dei soggetti che comunicano online, ovvero utenti, siti e servizi.
Senza i certificati, i sistemi informatici potrebbero essere alterati da hacker e gli attacchi di phishing sarebbero molto più difficili da riconoscere ed evitare. Ti consigliamo di seguire sempre le indicazioni del tuo browser riguardo ai certificati dei siti che visiti, soprattutto se ti appare un messaggio che dice che il sito utilizza un protocollo poco sicuro o non dispone di un certificato valido.
CONTINUA A LEGGERE: 10 consigli estivi per la sicurezza del tuo PC
Buona navigazione e buon utilizzo dei certificati digitali!