Che cos'è un certificato di sicurezza del sito Web e perché dovresti aver cura di te?
Hai mai visto l'errore, “C'è un problema con il certificato di sicurezza di questo sito” e si chiedeva cosa significasse? Spiegherò che cos'è un certificato di sicurezza e come funziona - così puoi tornare alla tua navigazione - senza preoccupazioni.
La sicurezza di Internet è piuttosto complessa, quindi questo articolo fornisce solo una semplice panoramica dell'argomento per i lettori non tecnici e suggerimenti su cosa fare quando si incontrano errori di sicurezza.
Perché i certificati di sicurezza sono importanti
Quando accedi a un sito Web in cui è necessario accedere e gestire un account, è importante che i dettagli del tuo account rimangano tra te e il tuo fornitore di servizi, in modo che i tuoi soldi, la tua identità e le tue informazioni personali rimangano al sicuro. Il tuo fornitore di servizi online potrebbe essere la tua banca, un negozio online o un sito di e-commerce, PayPal, la tua email o il tuo blog privato.
Quando accedi a questi tipi di siti web, noterai che l'URL inizia con un'icona di blocco e “httpS: //” invece di solo “http: //”.
HTTPS (HyperText Transfer Protocol Secure) indica che il sito Web è protetto da Secure Socket Layer / Transport Layer Security. I dati inviati tra te e il sito Web sono crittografati in modo che le informazioni siano private e che il sito Web sia identificato come chi afferma di essere. Proprio come il modo in cui verifichi la tua identità (tramite nome utente e password e altre informazioni che possono chiedere come nell'autenticazione a due fattori Qual è l'autenticazione a due fattori, e perché dovresti usarla Cos'è l'autenticazione a due fattori, e Perché dovresti usarlo Autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la tua identità.È comunemente usato nella vita di tutti i giorni.Per esempio il pagamento con una carta di credito non richiede solo la carta, ... Per saperne di più ), il sito web deve anche. Il sito web dimostra che è gestito dai suoi veri proprietari mostrando un certificato di sicurezza al browser Internet, che indica che il sito è legittimo con il simbolo del lucchetto.
Se non vedi quelle cose quando dovresti essere su un sito sicuro, o se vedi un avviso, significa che il sito web potrebbe essere un falso. Su un sito come questo, potresti inviare i tuoi dati alle persone sbagliate, il che ti renderebbe vittima di un attacco man-in-the-middle. Cos'è un attacco Man-in-the-Middle? Il gergo della sicurezza ha spiegato cos'è un attacco man-in-the-middle? Il gergo della sicurezza spiegato Se hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo che fa per te. Leggi di più . È possibile fare clic sul simbolo di blocco per ulteriori dettagli, se non appare in verde, o se ha un segno di avvertenza giallo su di esso.
I simboli di sicurezza sono diversi: controlla le spiegazioni di Google per quelle utilizzate in Chrome, mentre gli utenti di Internet Explorer dovrebbero consultare la chiave di Microsoft. I pulsanti di sicurezza del browser Safari appaiono alla fine dell'URL, come spiegato da Apple.
Proprietari del sito, browser e autorità di certificazione
I proprietari di siti web di e-commerce pagano una terza parte denominata autorità di certificazione (CA) per verificare chi è la società e che le sue transazioni sono autentiche.
I browser Web, come Google Chrome, Firefox e Internet Explorer, mantengono elenchi di Autorità di certificazione che considerano affidabili. Quando accedi a quello che dovrebbe essere un sito web sicuro, il sito presenta il suo certificato di sicurezza al tuo browser. Se il certificato è aggiornato e da un'autorità di certificazione attendibile, è consentito accedere e completare le transazioni senza preavviso.
Se stai avviando un sito Web sicuro, ci sono molte CA diverse tra cui scegliere. Possono includere Norton, GoDaddy, Microsoft e numerosi altri. Il loro compito è verificare che tu sia il proprietario del sito per il quale stai emettendo un certificato, noto anche come verifica del dominio. Ciò può essere fatto inviando un'e-mail con le istruzioni per l'aggiornamento delle impostazioni DNS (Domain Name Server) del tuo sito web o dei file sul tuo server web, all'indirizzo e-mail associato al dominio del sito web. L'idea è, solo la persona che ha ricevuto quell'e-mail avrebbe le istruzioni esatte per l'aggiornamento del sito Web, ed essere in grado di farlo.
Maggiore sicurezza
Esistono altri tipi di certificati più rigorosi che una CA può offrire (che costa di più) per verificare chi tu e la tua azienda siano, come la convalida estesa, che può costare centinaia di dollari (le grandi aziende pagheranno a volte migliaia). Extended Validation include la verifica di informazioni come l'identità legale del proprietario del sito web, il nome dell'azienda, l'indirizzo fisico, la registrazione e la giurisdizione di costituzione. La sicurezza di questo sito Web è una misura importante di fiducia se gestisci un'attività. Che cos'è un certificato di sicurezza del sito Web e perché dovresti aver cura di te? Che cos'è un certificato di sicurezza del sito Web e perché dovresti aver cura di te? Leggi di più .
Quando visiti un sito che è stato sottoposto a Extended Validation, i browser moderni includono il nome della società in verde nella barra degli indirizzi per informarti che hai a che fare con la società corretta.
Autorità di certificazione gratuite
Ci sono autorità di certificazione gratuite là fuori, ma poiché il servizio è gratuito non hanno gli stessi livelli di sicurezza e di branding dei grandi nomi. Inoltre, spesso mancano della loro ubiquità di riconoscimento del browser. Ciò significa che se ricevi un certificato di sicurezza gratuito, puoi sentire dai lettori del tuo sito Web che il loro browser presenta un avviso quando visitano il tuo sito che l'autorità di certificazione del tuo sito non è affidabile. È possibile ottenere la verifica del dominio gratuita da StartSSL (senza convalida dell'identità) e questo cancellerà la sicurezza del tuo sito da browser Mozilla, Safari e Internet Explorer. Tuttavia, non otterrai la barra verde per i pacchetti Extended Validation, che costano circa $ 200. La società ha sede in Israele, tuttavia, ed è tenuta a conservare i documenti di verifica per diversi anni.
CACert è un'autorità di certificazione libera e guidata dalla comunità. I CACert Assurer volontari si incontrano con i proprietari dei siti per rivedere di persona i documenti di identità. Sfortunatamente, i certificati CAcert non sono affidabili nei principali browser e vengono inclusi solo in alcuni sistemi operativi open source.
Tuttavia, utilizzando CACert e StartSSL offrirai la crittografia del tuo sito, quindi se hai una semplice interazione dell'utente sul tuo sito (come un forum o un wiki) questi servizi gratuiti potrebbero essere proprio ciò di cui hai bisogno.
Cosa fare se si vede un avviso del certificato
La cosa importante da fare quando ricevi l'avviso del browser è controllare i dettagli. Sarai in grado di scoprire perché il certificato è stato rifiutato e decidi tu stesso se vuoi continuare e utilizzare comunque il sito. Se il certificato è scaduto, il proprietario del sito potrebbe aver appena dimenticato di rinnovarlo in tempo. Se vedi questo errore molto, controlla la data dell'orologio del tuo computer e assicurati che sia accurata.
Tuttavia, se il certificato di sicurezza è stato revocato, significa che il sito sta usando il certificato in modo fraudolento e non dovresti fidarti di esso. Si potrebbe anche ottenere l'avviso che l'autorità di certificazione non è attendibile. Se ritieni di aver compreso e di avere fiducia nel modello di verifica peer-to-peer di CACert o nella verifica del dominio di StartSSL, puoi dire al tuo browser di fidarsi di tali CA. Ci sono altri tipi di avvertimenti ed errori, quindi tieni gli occhi aperti e leggi i dettagli.
Quando vedi un avviso di certificato da un sito di cui ti fidi, puoi anche provare a controllare il feed Twitter del sito web - spesso a casa per aggiornamenti sul sito, tempi di fermo, sicurezza e altri problemi.
Se non hanno aggiornamenti, e se sei in grado, può aiutarti a contattare il proprietario del sito web e chiedere cosa sta succedendo. Potresti salvare un sacco di dolore nel proprietario del sito web e in altri utenti nel caso in cui non fossero già a conoscenza dell'avvertenza del certificato.
In breve, sii vigile (perché le frodi di phishing La nuova truffa del phishing utilizza la pagina di accesso Google imprecisa in modo accurato La nuova truffa del phishing utilizza la pagina di accesso Google imprecisa e accurata Ottieni un link a Google Doc. Fai clic su di esso, quindi accedi al tuo account Google. giusto? Sbagliato, apparentemente.Un sofisticato sistema di phishing sta insegnando al mondo un'altra lezione sulla sicurezza online.Ulteriori informazioni sono disponibili qui), ma anche essere curiosi. Vai avanti e scopri perché vedi gli avvisi di sicurezza.
Hai mai riscontrato un avviso di certificato di sicurezza? Ti prendi il tempo per scoprire perché lo stai vedendo? Quali ti preoccupano di più, e hai qualche consiglio su cosa fare su di loro?
Scopri di più su: Sicurezza online, Shopping online.