Ciao a tutti.

Devo installare alcuni certificati SSL (su domini di 3° livello quindi wildcard) per alcuni miei siti web.

Quello che non mi è del tutto chiaro è se posso crearmi io un certificato SSL e renderlo TRUST (e come farlo) oppure se sono "obbligato" a comprare un certificato SSL da un ente che fornisce certificati per poter essere al "sicuro con i dati in transito" e soprattutto a norma di legge (alias GDPR).

In sostanza nonostante mi sia documentato su web non sono riuscito a capire la valenza (legale e in termini di reale sicurezza del certificato) tra un self-certificate e un certificato acquistato, al di la ovviamente del fatto che il certificato acquistato è certificato da un ente certificatore (scusate il gioco di parole).

In sostanza un certificato "autocostruito" e uno acquistato sono egualmente sicuri e validi per la legge ? al di la delle "certificazioni formali" ?.

Grazie

Filippo
10.803 messaggi dal 09 febbraio 2002
Contributi
Ciao Filippo,

In sostanza un certificato "autocostruito" e uno acquistato sono egualmente sicuri e validi per la legge ?

I certificati autofirmati e quelli emessi dalle Certification Authority riconosciute funzionano con la stessa tecnologia e quindi, a livello puramente tecnico, sono ugualmente abili nel rendere sicura la connessione tra client e server.

Ma il problema GIGANTE dei certificati autofirmati è che non esiste un ente terzo a garantire che il possessore sia il legittimo proprietario delle informazioni che sono contenute al suo interno. Per esempio, io potrei autofirmarmi un certificato SSL per www.paypal.com, anche se non sono il proprietario di quel sito.
Quindi, quando un utente visita un sito che espone un certificato autofirmato, i browser mostrano un avviso MOLTO evidente e rendono molto difficoltoso persino l'accesso a quel sito.
Vedi questa immagine: https://qph.ec.quoracdn.net/main-qimg-7f9462c7044015e2ad4d4874d3c99dc2

Supponiamo che tu abbia un e-commerce: esponendo un certificato autofirmato perderesti la quasi totalità dei clienti, spaventati dall'avviso del browser. Alcuni ti contatteranno per dirti che il sito non funziona o è stato hackerato.
Anche se istruissi i tuoi utenti ad accettare il certificato (cosa da non fare MAI), non potresti garantire la sicurezza della connessione perché, nel frattempo, un man-in-the-middle potrebbe essersi inserito tra il tuo server e il client con un suo certificato autofirmato. A quel punto l'utente, che era stato istruito ad accettare il certificato, si troverà ad accettare il certificato di un malintenzionato e tutta l'utilità di HTTPS andrà a farsi benedire.

Comunque, perché autofirmarsi dei certificati quando ne puoi ottenere di gratuiti da Let's Encrypt, che è una certification authority (no-profit) riconosciuta? Da poco hanno introdotto anche certificati wildcard.
https://letsencrypt.org/

ciao,
Moreno
Modificato da BrightSoul il 02 maggio 2018 20.13 -

Enjoy learning and just keep making

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.