• Super User

    Certificato https let's encrypt vs certificati https a pagamento differenze

    Buonasera

    Faccio una domanda a cui ho ricevuto risposta praticamente opposte.

    Che differenze ci sono tra il certificato https gratuito let's encrypt (o altro certificato gratuito) e i certificati a pagamento (alcuni costano davvero tanto).

    Mi interessa proprio sapere per un sito internet cosa cambia ?

    Un programmatore abbastanza esperto mi ha detto che a suo parere è la stessa idendica cosa e dunque ritiene piu che sufficiente un certificato https let's encrypt per qualsiasi sito internet.

    Diversamente ho letto altri articoli che parlano che i certificati a pagamento prevedono anche un indennizzo e tutelano in maniera piu elevata.

    Ho visto su internet anche vari ecommerce che utilizzano let's encrypt dunque mi chiedo quali sono le differenze rispetto un certificato a pagamento e se realmente conviene spendere il prezzo per un certificato a pagamento quando ne esistono alcuni gratuiti che sembrerebbe svolgano le medesime funzioni.

    Ringrazio per i pareri


  • User Attivo

    @guadagnaeuro said:

    Un programmatore abbastanza esperto mi ha detto che a suo parere è la stessa idendica cosa e dunque ritiene piu che sufficiente un certificato https let's encrypt per qualsiasi sito internet.

    Ciao, detto proprio terra terra, se hai un sito web vetrina, o un blog e nessun'area utenti Let's Encrypt è più che sufficiente, non devi preoccuparti di aspetti tecnici particolari, per esempio si rinnova automaticamente e non devi avere un indirizzo IP dedicato, ed è ovviamente gratuito.

    Se hai ad esempio un ecommerce quindi un'area utenti, pagamenti online, etc, è decisamente consigliabile un certificato di livello superiore e personalmente non sono per niente d'accordo con quanto ti ha detto il programmatore, i certificati non sono tutti uguali e la scelta dipende dalla tipologia di sito, web app, etc.

    Nei certificati commerciali poi ci sono ulteriori livelli, ad esempio i Wildcard, i Greeen Bar di livello superiore di sicurezza e che mostrano il nome dell'azienda nella barra indirizzi del browser, nello spazio che mostra la presenza del certificato, esempio: https://www.paypal.com/it/home/


  • User Attivo

    Ciao,

    esistono tre tipologie di certificati:

    • Certificati DV (Domain Validated), che certificano solamente il dominio e il cui rilascio da parte della CA avviene in poco tempo (di solito 1 ora o anche molto meno). Un certificato Let's Encrypt rientra in questa tipologia.
    • Certificati OV (Organization Validated), che certificano sia il dominio che l'organizzazione che ne fa richiesta. Richiedono più tempo per essere rilasciati rispetto ai DV, credo 1 giorno massimo.
    • Certificati EV (Extended Validation), che certificano sia il dominio che l'organizzazione e mostrano una barra verde con il nome dell'azienda. Richiedono diversi giorni per essere rilasciati, in quanto la CA deve effettuare diverse verifiche.

    Dal punto di vista della sicurezza intesa come integrità dei dati e invio degli stessi in forma crittografata, non cambia nulla tra un DV o un EV. Quello che cambia è la sicurezza che dai al visitatore, in quanto un DV può richiederlo chiunque (pure un malintenzionato) e certifica solo il dominio, d'altra canto per richiedere un EV ci vogliono diversi giorni perché devi dimostrare chi dici di essere tramite un'ampia documentazione. Inoltre agli utenti viene mostrata una barra verde, sinonimo di garanzia e affidabilità.

    Va da se che un DV è indicato per la maggior parte dei siti (tipo blog personali) e un OV o EV per eCommerce o azienda.

    Un'altro punto forse trascurato da molti è la configurazione SSL del server che ospita il tuo sito.

    Infatti la sicurezza di un certificato SSL dipende anche dalla forza dell'algoritmo utilizzato per crittografare i messaggi scambiati tra utente e sito web. Per questo sarebbe opportuno abilitare TLS a partire dalla versione 1.2 e disabilitare completamente SSL, in quanto utilizza algoritmi di cifratura vulnerabili. Se il server lo gestisci tu, la configurazione è a carico tuo, mentre se hai un hosting dovrebbe occuparsene il provider.

    Questo tool gratuito offre un modo veloce per verificare la configurazione e l'installazione del certificato https://www.ssllabs.com/ssltest/

    Un ultimo punto da tenere in considerazione, e che riguarda chi gestisce un eCommerce (o un booking engine) con salvataggio o invio di carte di credito, è la conformità PCI-DSS. Non entro troppo nel merito della questione, però in breve il discorso è questo: se gestisci (salvataggio o invio) carte di credito sul tuo sito, allora devi dimostrare che hai effettuato tutti i controlli del caso per mettere in sicurezza tali dati.

    Un esempio di provider che offre servizi di booking engine e channel manager con gestione carte di credito, è WuBook. Se vai sul loro sito noterai sia la barra verde, che sta ad indicare la presenza di un certificato EV, sia la certificazione PCI-DSS (in basso nel footer).

    Sul discorso della garanzia (warranty) offerta da chi rilascia il certificato non saprei dirti, non mi sono mai documentato in merito.


  • Moderatore

    @flaviors200 said:

    Ciao,

    esistono tre tipologie di certificati:

    • Certificati DV (Domain Validated), che certificano solamente il dominio e il cui rilascio da parte della CA avviene in poco tempo (di solito 1 ora o anche molto meno). Un certificato Let's Encrypt rientra in questa tipologia.
    • Certificati OV (Organization Validated), che certificano sia il dominio che l'organizzazione che ne fa richiesta. Richiedono più tempo per essere rilasciati rispetto ai DV, credo 1 giorno massimo.
    • Certificati EV (Extended Validation), che certificano sia il dominio che l'organizzazione e mostrano una barra verde con il nome dell'azienda. Richiedono diversi giorni per essere rilasciati, in quanto la CA deve effettuare diverse verifiche.

    Dal punto di vista della sicurezza intesa come integrità dei dati e invio degli stessi in forma crittografata, non cambia nulla tra un DV o un EV. Quello che cambia è la sicurezza che dai al visitatore, in quanto un DV può richiederlo chiunque (pure un malintenzionato) e certifica solo il dominio, d'altra canto per richiedere un EV ci vogliono diversi giorni perché devi dimostrare chi dici di essere tramite un'ampia documentazione. Inoltre agli utenti viene mostrata una barra verde, sinonimo di garanzia e affidabilità.

    Va da se che un DV è indicato per la maggior parte dei siti (tipo blog personali) e un OV o EV per eCommerce o azienda.

    Un'altro punto forse trascurato da molti è la configurazione SSL del server che ospita il tuo sito.

    Infatti la sicurezza di un certificato SSL dipende anche dalla forza dell'algoritmo utilizzato per crittografare i messaggi scambiati tra utente e sito web. Per questo sarebbe opportuno abilitare TLS a partire dalla versione 1.2 e disabilitare completamente SSL, in quanto utilizza algoritmi di cifratura vulnerabili. Se il server lo gestisci tu, la configurazione è a carico tuo, mentre se hai un hosting dovrebbe occuparsene il provider.

    Questo tool gratuito offre un modo veloce per verificare la configurazione e l'installazione del certificato https://www.ssllabs.com/ssltest/

    Un ultimo punto da tenere in considerazione, e che riguarda chi gestisce un eCommerce (o un booking engine) con salvataggio o invio di carte di credito, è la conformità PCI-DSS. Non entro troppo nel merito della questione, però in breve il discorso è questo: se gestisci (salvataggio o invio) carte di credito sul tuo sito, allora devi dimostrare che hai effettuato tutti i controlli del caso per mettere in sicurezza tali dati.

    Un esempio di provider che offre servizi di booking engine e channel manager con gestione carte di credito, è WuBook. Se vai sul loro sito noterai sia la barra verde, che sta ad indicare la presenza di un certificato EV, sia la certificazione PCI-DSS (in basso nel footer).

    Sul discorso della garanzia (warranty) offerta da chi rilascia il certificato non saprei dirti, non mi sono mai documentato in merito.

    Ottima spiegazione.
    Aggiungo solo una cosa in più sul fatto sicurezza: i certificati DV sono creati diciamo "al volo" direttamente nel server dove si trova il sito questo implica che se per caso la configurazione DNS viene compromessa (di fatto modifico l'ip del server dal "vero" a uno finto) posso avere un clone del sito con tanto di certificato valido senza troppi problemi (il famoso Man in the middle).

    Non è che con gli altri certificati sia impossibile replicare questa tipologia di problema, ma per farlo bisognerebbe bucare/entrare nel server e copiarsi la chiave e il certificato che ci sono nel nuovo server "truffa" (oltre che modificare il DNS).


  • User Attivo

    @giuseppemorelli said:

    Ottima spiegazione.
    Aggiungo solo una cosa in più sul fatto sicurezza: i certificati DV sono creati diciamo "al volo" direttamente nel server dove si trova il sito questo implica che se per caso la configurazione DNS viene compromessa (di fatto modifico l'ip del server dal "vero" a uno finto) posso avere un clone del sito con tanto di certificato valido senza troppi problemi (il famoso Man in the middle).

    Non è che con gli altri certificati sia impossibile replicare questa tipologia di problema, ma per farlo bisognerebbe bucare/entrare nel server e copiarsi la chiave e il certificato che ci sono nel nuovo server "truffa" (oltre che modificare il DNS).

    Grazie Giuseppe.

    Scusa ma il rilascio del certificato implica un controllo sulla configurazione DNS, se questa non è corretta il certificato non viene rilasciato/rinnovato. O forse non ho capito bene cosa intendi 🙂


  • Moderatore

    Ciao
    aggiungo anche che i certificati a pagamento offrono un assicurazione per il venditore. In caso di "problemi" e transazioni fraudolente fornitore e clienti sono tutelate dal Certificato.


  • Moderatore

    @flaviors200 said:

    Grazie Giuseppe.

    Scusa ma il rilascio del certificato implica un controllo sulla configurazione DNS, se questa non è corretta il certificato non viene rilasciato/rinnovato. O forse non ho capito bene cosa intendi 🙂

    Cerco di spiegarlo con un esempio:

    • il sito pippo.com punta a 57.20.35.69 (numero a caso) ed ha il dns con l'azienda X quindi magari ns1.x.com ns2.x.com
    • creo il certificato let's encrypt
    • tutto ok, ora il sito è in https

    Per negligenza o phishing o altro, riesco ad impossessarmi dell'accesso ai dns ns1.x.xom e ns2.x.com
    (Questa operazione ovviamente è illegale.)

    • clono il sito pippo.com
    • modifico il dns ns1.x.com e ns2.x.com facendo puntare pippo.com sul clone di pippo.com (es. 60.25.68.69 - sempre numero a caso)
    • creo il certificato let's encrypt
    • tutto ok, ora il sito è in https (ma il sito è un fake)

    Questo è creare il man in the middle.

    Ovviamente parlo di un hacking, non di procedure standard :rollo:


    Se avevo un certificato OV o EV dovevo bucare/accedere anche al server per copiarmi i file dei certificati.


  • Super User

    Ringrazio tutti per le gentili risposte