Guida ai certificati SSL

Transcript

Guida ai certificati SSL
User Guide
PROBLEMATICHE DEL WEB ................................................................................................ 2
PRIVACY ............................................................................................................................3
AUTORIZZAZIONE/AUTENTICAZIONE.............................................................................4
INTEGRITA’ DEI DATI ....................................................................................................... .4
NON RIPUDIO ................................................................................................................... .4
QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE I 5 PRINCIPI DI
SICUREZZA? .........................................................................................................................
5
Certificati Digitali .......................................................................................................... ...........7
Che cos’ è il certificato digitale ............................................................................................7
Qual è la funzione dell’ Autorità di Certificazione? .............................................................. 7
Come ottenere un certificato ...............................................................................................8
APPLICAZIONE DEI CERTIFICATI DIGITALI AI SITI WEB...................................................9
CERTIFICATI SSL PER SERVER WEB .............................................................................9
Come è possibile ottenere un certificato SSL?.................................................................. 10
PROBLEMATICHE DEL WEB
Oggi la sicurezza è di fondamentale importanza per qualsiasi business, che deve difendersi
da:
¾ Frode: qualcuno può spacciarsi per il legittimo cliente
¾ Furti di identità/Uso scorretto dei numeri della carta di credito
¾ Divulgazione o manipolazione di dati riservati o segreti
¾ Virus/Attacchi Hacker, ecc.
e garantire ai propri utenti:
¾ La riservatezza dei dati sensibili
¾ La sicurezza delle operazioni
Le infrastrutture di rete e robuste politiche di sicurezza sono sempre più indispensabili per
prevenire e/o combattere in modo efficiente il problema, ma spesso non risultato totalmente
efficaci a causa del:
- continuo sviluppo della tecnologia : difficoltà a rimanere sempre “aggiornati”;
- gli hacker sono sempre più competitivi ed agguerriti: Internet facilita sempre più
la comunicazione (anche tecnica) tra i vari gruppi di Hacker, ciò comporta che un hacker trova molta più soddisfazione ad infliggere un attacco non ancora tentato da
qualche “collega”.
Come ci si può difendere quindi?
È possibile trovare una soluzione che sia efficiente ed efficacie per avere un e-business sicuro?
La risposta a quest’ ultima domanda è si.
Come elementi di base devono rimanere:
- un’ infrastruttura di rete e personale qualificato, in grado di rimanere a passo con
la continua evoluzione tecnologica e le politiche di sicurezza e attacco implementate.
- Politiche di sicurezza sempre più robuste applicate sia all’ interno che all’ esterno
dell’ azienda.
2
Certificati SSL basic Ver. 1.3 – 05 Agosto 2011
©2011 GlobalTrust a division of GTI Group Corporation 113 Barksdale Professional Center - Newark, DE 19711-USA |
Italy Contacts: Phone +39 0761 402802 +39 338 6119843 - Fax +39 0761 403040 | corporate web sites | Email: [email protected]
http://www.globaltrust.it
Mod. B002
Su questi elementi devono essere create le condizioni necessarie a garantire quelli che sono
i 5 “pilastri” di un e-business sicuro, e cioè:
Analizziamo in maggior dettaglio come è possibile garantire questi 5 elementi:
PRIVACY
Assicura che un’ informazione non cada nelle mani di persone non autorizzate a conoscerla.
Materialmente questo risultato si può ottenere:
¾ Chiudendo l’ informazione in una cassaforte
¾ Sigillando in una busta opaca
¾ Impiegando personale che lo custodisca
3
Mod. B002
¾ Controllando l’ accesso fisico all’ informazione
¾ Usando l’ inchiostro invisibile
¾ Usando sistemi di codifica (crittografia a chiave privata/simmetrica o crittografia a
chiave pubblica/asimmetrica)
AUTORIZZAZIONE/AUTENTICAZIONE
È la garanzia che nessuno oltrepassi il proprio limite di autorità.
Materialmente questo risultato si ottiene attraverso:
¾ Contratti standard con obbligo di firma/e autografa/e
¾ L’ uso di serrature con chiavi custodite da apposito personale
¾ La definizione di speciali aree ad accesso ristretto
¾ L’ imposizione di limiti di autorità esercitatile (politica e regolamenti aziendali; limitazione quantitativa degli ordini d’ acquisto)
¾ L’ obbligo di firma per ottenere l’ accesso (identità e audit trail)
¾ Il controllo effettuato da revisori interni ed esterni
INTEGRITA’ DEI DATI
Uso di dispositivi di sicurezza per proteggere il messaggio da modifiche non autorizzate.
L’ integrità dei dati è garantita da:
¾ Controllo materiale dei supporti utilizzabili (es. carta filigranata)
¾ Attestazione delle modifiche attraverso simboli o sigle
¾ Uso di terze parti di fiducia (che autenticano tutte le copie; che fanno da testimoni
firmando e autenticando i cambiamenti)
¾ Stretto controllo di tutte le copie qualora siano particolarmente importanti o confidenziali
¾ Attente revisioni manuali dei documenti (documenti legali o richieste di brevetto, audit
reports finanziari)
NON RIPUDIO
Il non ripudio è garantito da:
¾ Manifestazione di volontà ed effettiva presenza delle parti al momento della firma della transazione
¾ Coinvolgimento di terze parti di fiducia (autenticazione notarile delle firme)
¾ Certificazione o registrazione della posta (ancora una volta dipende dalle terze parti,
es. Poste italiane)
¾ Apposizione di data e ora (francobolli; registrazione delle date di trasmissione, ricezione, accettazione, ecc.)
4
Mod. B002
QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE I 5 PRINCIPI DI SICUREZZA?
5
Mod. B002
6
Mod. B002
Certificati Digitali
Che cos’ è il certificato digitale
Il certificato digitale è un documento elettronico (file) utilizzato per identificare con esattezza
l’ identità di una persona o un’ entità. Nel mondo informatico esso rappresenta ciò che la
carta d’ identità costituisce nella vita reale.
Come quest’ ultima, infatti, esso ha una validità temporale limitata e viene rilasciato da una
terza parte di fiducia:
-
Autorità emittente
- Autorità di certificazione (CA-Certification Authority)
Qual è la funzione dell’ Autorità di Certificazione?
Una Autorità di Certificazione rilascia i certificati a chi ne fa richiesta dopo averne attestato
l'identità.
Svolge il ruolo di garante dell'identità di chi usa il certificato da lei rilasciato, così come le autorità di pubblica sicurezza (prefettura, comune, ecc…) che emettono documenti di identificazione quali il passaporto o la carta d'identità.
Chiunque può verificare la validità di un certificato, in quanto le C.A. devono mantenere un
pubblico registro dei certificati emessi e una Lista dei Certificati Revocati (Certification Revocation List) disponibile per la verifica per via telematica da parte di tutti gli utenti.
7
Mod. B002
Solitamente vengono emessi certificati per identificare:
¾ L’ Autorità di certificazione: a tal fine, i certificati dovrebbero essere precaricati nei
browser, cosicché sia possibile riconoscere, come validi, tutti i certificati emessi da
quella CA. È consigliabile controllare la lista dei certificati delle CA presenti sul vostro
browser, sia esso Microsoft Internet Explorer, Netscape Navigator o altro;
¾ Un sito: in questo caso si parla di Certificati SSL Web Server. Essi garantiscono
che il server che sta rispondendo corrisponde al dominio certificato. Questo tipo di
certificati viene usato in genere per effettuare:
- login sicuri per le Intranet
- login sicuri per siti Web
- Form di registrazione sicuri
- Invio di informazioni dei clienti
- Invio di informazioni di pagamento
- Prova dell’ identità di un business on-line.
¾ Un soggetto: il certificato contiene informazioni quali nome, cognome, indirizzo, email, ecc...; esso può essere utilizzato per garantire la provenienza di una e-mail, per
usufruire di servizi personali, ecc.
¾ Un software: Il certificato garantisce la provenienza del software. Questo utilizzo è
importante specialmente se il prodotto viene distribuito in Rete.
Come ottenere un certificato
I certificati digitali delle più diffuse autorità di certificazione, sono solitamente precaricati nei
browser; oppure sono scaricabili da Internet.
Quando servono per stabilire l' identità di un utente di solito vengono consegnati direttamente all'interessato utilizzando come dispositivo di memorizzazione un dischetto, una chiave
USB oppure una smart card (supporto dotato di microchip, usato per memorizzare i dati dell’
utente in modo cifrato). Essa rappresenta, oggi, il supporto con più alto grado di sicurezza.
8
Mod. B002
Campi di applicazione:
Quando vengono forniti o si utilizzano servizi on-line come pagamenti e consultazione di dati riservati.
¾ Quando si scambiano massaggi di posta elettronica: il mittente che compare su una
e-mail non ci assicura riguardo all'identità di chi ha spedito veramente quel messaggio.
¾ Quando vogliamo verificare la validità di documenti in formato elettronico scaricati da
internet o vogliamo garantire l'autenticità di documenti da noi pubblicati.
¾
APPLICAZIONE DEI CERTIFICATI DIGITALI AI SITI WEB
CERTIFICATI SSL PER SERVER WEB
Installando un certificato SSL per Server Web sul vostro sito, manderete un chiaro segnale,
ai vostri clienti e non, che siete una realtà riconosciuta e verificata da una terza parte fidata,
e che le informazioni scambiate sono cifrate e non possono essere intercettate.
In sintesi, potrete offrire le seguenti garanzie di sicurezza:
• Autenticazione del vostro sito tramite un certificato digitale: dimostra che la società titolare del sito è un’ entità ufficialmente riconosciuta e previene il DNS spoofing (tecnica adottata dagli hacker);
• Privacy: il protocollo SSL cifra tutte le informazioni scambiate tra il vostro Server Web e
il browser del cliente. Di conseguenza esse vengono protette dagli accessi non autorizzati.
• Integrità delle informazioni: le informazioni scambiate non possono essere modificate e
corrotte durante il loro transito in rete.
9
Mod. B002
Come è possibile ottenere un certificato SSL?
La GlobalTrust è una Certification e Registration Authority riconosciuta a livello mondiale in grado di rilasciare tutte le classi di certificati e tutti i tipi di tecnologia di sicurezza digitale; usufruendo delle più avanzate tecniche di sicurezza, autenticazione, verifica e copertura
assicurativa .
GlobalTrust è una Indipendent Authority nella protezione dagli attacchi informatici. I suoi laboratori di ricerca, con speciali accordi con il mondo universitario internazionale, le consentono di essere aggiornati su tutto quello che più di moderno esista nell'ambito della sicurezza. Leader mondiale tra i provider della certificazione digitale e di sistemi avanzati di sicurezza. Come tale, opera in base alle più recenti normative Internazionali sulla firma digitale.
Visitando il sito della Globaltrust, è possibile scegliere tre diverse tipologie di prodotto, ciascuna delle quali si sposa ad una particolare esigenza dell’ utente finale.
¾ Express Web Identity =certificato SSL standard a 128 bit per Web server, rilasciato
dalla Entrust.
Il tipo di autenticazione applicato è quello standard.
¾ Real Web Identity = Express Web Identity + Strong authentication+GTA
¾ GlobalTrust Multi SSL System = Pacchetto di certificati Real Web Identity
Per maggiori informazioni sui Certificati SSL e altre tipologie di certificato rilasciati dalla
GlobalTrust, visita il nostro sito.
Per informazioni sugli strumenti di gestione dei certificati clicca qui
10
Mod. B002

Guida ai certificati SSL

Transcript

Documenti analoghi

E.S. TELEFONIKA

ecografia pelvica endovaginale

Certificati di Conformità e di Idoneità all`impiego di

Certificati ed estratti di stato civile oa mezzo fax

Certificati S-MIME gratuiti: Thawte cessa il rilascio

Sciopero medici di famiglia, FIMMG Padova

Leggi l`Avviso - Comune di Castelfranco in Miscano

Certificato EV SSL

Verifica firma digitale