Affrontiamo qui l’argomento della Crittografia asimmetrica ossia dei certificati digitale a chiave pubblica e chiave privata per permettere l’autenticazione di un sito. O firma digitale come si dice oggi in gergo.
Vediamo in dettaglio passo per passo.
Chiave Pubblica e Privata
Vediamo di cosa si tratta e da cosa servono nello specifico.
- Chiave Pubblica in informatica è un software che serve per crittografare un testo .
- Chiave Privata. è un software che serve per decrittografare un testo.
Per esempio se io Tizio voglio mandare un messaggio segreto a Caio. Lo cripto con la chiave pubblica e Caio ha a disposizione la chiave privata per decriptarlo. Le prime sono molteplici le seconde quelle private sono solamente in possesso di un individuo. Per questo il sitema viene chiamato crittografia asimmetrica
Questa figura rappresenta abbastanza bene il tutto
HTTP e TLS generano il protocollo HTTPS
Quanto vi ho spiegato prima è che cosa è in teoria la certificazione . Il concetto è stato trasportato in Internet e nei protocolli HTTP in particolare. Ora abbiamo il TLS acronimo di Transport Layers Security prima ancora SSL ossia Secure Sockets Layers.
Un protocollo HTTP che scambia informazioni con un certificato di sicurezza TLS prende il nome di HTTPS
Funzionamento Protocollo HTTPS
Nella prima fase di interscambio si stabilisce quale protocollo usare per la comunicazione ossia http o https verificando la validità delle chiavi che in questo caso prende il nome di Certificato.
Scambio chiave pubblica e privata e relativa autenticazione
Inizia lo scambio dei messaggi che sono cifrati. In pratica fra il livello TCP/IP e il livello HTTPS si è interposto un terzo livello, totalmente trasparente all’utente che offre il servizio di cifratura.
La differenza sostanziale fra un URL del protocollo HTTPS è che questo inizia con https:// e utilizzano la porta 443 di default, mentre le URL HTTP iniziano al contrario con http:// e utilizzano la porta 80.
Validità dei Certificati CA
Nell’ambito della crittografia i certificati sono classificati per la loro segretezza. Ossia per la segretezza della chiave privata secondo la CA che l’ha rilasciata acronimo di Autorità Certificativa.
Si va dalle CA più economiche oggi addirittura gratis, a quelle meno che rilasciano il certificato via email, via PEC, via posta certificata a salire fino alle CA che vi rilasciano il software della chiave privata o certificato solamente di persona. Ovviamente le CA piu’ importanti sono quelle americane che sono anche le più costose.
Com’è fatto un Certificato SSL o TLS
Fino ad ora vi abbiamo parlato di Certificato in maniera generica. Ma come è realizzato in pratica. Vedimo quindi qual è la sua struttura
La struttura di un certificato digitale che si adotto attualmente è quella dell X.509 v3 che è strutturata nel seguente modo
- Certificato
- Numero di Versione
- Numero di seriale
- Identificativo dell’algoritmo utilazzato
- Ente o società emittente
- Validità periodo che intercorre prima della scadenza
- Soggetto emittente
- Informazioni sulla chiave pubblica del soggetto
- Algoritmo per l’utilizzo della chiave pubblica
- Chiave pubblica
- Codice identificativo univoco dell’emittente questo parametro rimane comunque facoltativo
- Codice identificativo univoco del soggetto come prima non è obbligatorio
- Eventuali Estensioni
- …
- Algoritmo con il quale è stato firmato
- Firma del certificato
Quanto vi abbiamo spiegato è valido per il protoccollo HTTP ma lo è anche per il protocollo S/MIME ossia le email. Ovviamente le mail con questa procedura sono certificate e sono comunemente chiamate oggi PEC