Skip to main content

Certificati firmati e autofirmati in Web Security

Calling All Cars: Murder in the Back Room / Blood-Stained Saw / Missing 100 Dollar Nightgown (Giugno 2025)

Calling All Cars: Murder in the Back Room / Blood-Stained Saw / Missing 100 Dollar Nightgown (Giugno 2025)
Anonim

La sicurezza è un fattore estremamente importante per il successo di qualsiasi sito web. Ciò è particolarmente vero per i siti che hanno bisogno di raccogliere PIA, o "informazioni di identificazione personale", dai visitatori. Pensa a un sito che richiede di inserire un numero di previdenza sociale o, più comunemente, un sito di e-commerce al quale è necessario aggiungere le informazioni della carta di credito per completare l'acquisto. Su siti come questi, la sicurezza non è solo attesa da quei visitatori, è essenziale per il successo.

Quando crei un sito di e-commerce, una delle prime cose che devi configurare è un certificato di sicurezza in modo che i dati del tuo server siano sicuri. Quando lo imposti, hai la possibilità di creare un certificato autofirmato o di creare un certificato approvato dall'autorità di certificazione. Diamo un'occhiata alle differenze tra questi due approcci ai certificati di sicurezza del sito web.

Somiglianze tra certificati firmati e autofirmati

Indipendentemente dal fatto che il certificato sia stato firmato da un'autorità di certificazione o firmato da te, c'è una cosa che è esattamente la stessa su entrambi:

  • Entrambi i certificati genereranno un sito che non può essere letto da terze parti. I dati vengono inviati tramite una connessione HTTPS o SSL e verranno crittografati indipendentemente dal fatto che il certificato sia firmato o autofirmato.

In altre parole, entrambi i tipi di certificati crittografano i dati per creare un sito Web sicuro. Da una prospettiva di sicurezza digitale, questa è la fase 1 del processo.

Perché dovresti pagare un'autorità di certificazione

Un'autorità di certificazione comunica ai clienti che queste informazioni sul server sono state verificate da una fonte attendibile e non solo dalla società proprietaria del sito. Fondamentalmente, c'è una società di terze parti che ha verificato le informazioni di sicurezza.

Un'Autorità di certificazione comunemente utilizzata è Verisign. A seconda della CA utilizzata, il dominio viene verificato e viene emesso un certificato. Verisign e altre CA di fiducia verificheranno l'esistenza dell'attività in questione e la proprietà del dominio per fornire un po 'più di sicurezza che il sito in questione è legittimo.

Il problema con l'utilizzo di un certificato autofirmato è che quasi tutti i browser Web verificano che una connessione https sia firmata da una CA riconosciuta. Se la connessione è autofirmata, questa verrà contrassegnata come potenzialmente rischiosa e verranno visualizzati dei messaggi di errore che incoraggeranno i clienti a non fidarsi del sito, anche se in effetti è sicuro.

Utilizzo di un certificato autofirmato

Dal momento che forniscono la stessa protezione, puoi usare un certificato autofirmato ovunque utilizzi un certificato firmato, ma alcuni posti funzionano meglio di altri.

I certificati autofirmati sono ottimi per testare i server. Se stai creando un sito Web che devi testare su una connessione https, non devi pagare un certificato firmato per quel sito di sviluppo (che è probabile che sia una risorsa interna). Devi solo dire ai tuoi tester che il loro browser potrebbe far apparire messaggi di avvertimento.

È inoltre possibile utilizzare certificati autofirmati per le situazioni che richiedono riservatezza, ma le persone potrebbero non essere altrettanto preoccupate. Per esempio:

  • Moduli di nome utente e password
  • Raccolta di informazioni personali, ma non finanziarie di PIA
  • Su moduli in cui gli unici utenti sono persone che conoscono e si fidano di te, come una Intranet aziendale

Quello che viene in fondo è la fiducia. Quando utilizzi un certificato autofirmato, stai dicendo ai tuoi clienti "fidati di me - io sono quello che dico di essere". Quando si utilizza un certificato firmato da una CA, si sta dicendo: "Fidati di me - Verisign è d'accordo che io sia chi dico di essere." Se il tuo sito è aperto al pubblico e stai cercando di fare affari con loro, quest'ultimo è un argomento molto più forte da fare.

Se stai facendo l'e-commerce, hai bisogno di un certificato firmato

È possibile che i tuoi clienti ti perdoneranno per un certificato autofirmato se tutto ciò per cui lo usano è per accedere al tuo sito web, ma se stai chiedendo loro di inserire la loro carta di credito o le informazioni Paypal, allora hai davvero bisogno di una firma certificato. La maggior parte delle persone si fida dei certificati firmati e non farà affari su un server HTTPS senza uno. Quindi, se stai cercando di vendere qualcosa sul tuo sito web, investi in quel certificato. Fa parte del costo di fare affari e di essere impegnato nella vendita online.