I certificati TLS (Transport Layer Security) verificano l'integrità sia della proprietà che delle informazioni dei siti web visitati. In pratica questi certificati di sicurezza di un sito web aiutano Firefox a determinare se il sito che si sta visitando sia proprio il sito che dichiara di essere. In questo articolo viene spiegato il funzionamento dei certificati.

Quali siti web utilizzano i certificati?

I siti web i cui indirizzi iniziano con https utilizzano certificati TLS. I siti web che utilizzano certificati TLS sono sicuri solo se soddisfano due condizioni:

• L'amministratore del sito web possiede il nome del sito web o sa chi lo possiede
• Il sito web critta la connessione tra il browser dell'utente e il sito stesso per impedire intercettazioni

Catena di affidabilità

I browser, come Firefox, verificano i certificati attraverso una gerarchia chiamata catena di affidabilità. Questa gerarchia definisce una struttura per browser e altri programmi per verificare l'integrità del certificato. Il diagramma seguente illustra la catena di affidabilità:

È un elenco di tre certificati:

• Il certificato root (trust anchor)
• Il certificato intermedio
• Il certificato del server (end entity)

Definizione dei tre certificati: il certificato root (radice) appartiene alla Certificate Authority (CA) (autorità di certificazione), che emette certificati TLS e il browser si fida intrinsecamente; il certificato intermedio funge da intermediario tra la CA radice e il sito web; il certificato del server appartiene all'amministratore del sito web.

Questi certificati contengono le seguenti informazioni:

• Dettagli sull'autorità di certificazione (CA)
• Una coppia di chiavi asimmetriche
  • Una chiave privata che firma crittograficamente il certificato successivo nella catena; il certificato del server ne dispone di una per altre attività
  • Una chiave pubblica per decrittografare la firma del certificato successivo nella catena per la verifica dell'identità; il certificato del server la utilizza per altre attività

Ora possiamo descrivere come Firefox determina se un sito web è sicuro.

In che modo Firefox verifica l'integrità del certificato?

Ecco come Firefox utilizza la catena di affidabilità per verificare i certificati TLS:

1. Firefox scarica il certificato del sito web visitato.
2. Firefox verifica il certificato utilizzando il database interno delle autorità di certificazione (CA).
   • Utilizza la chiave pubblica del certificato radice della CA per garantire che il certificato radice e il certificato intermedio siano firmati correttamente lungo la catena.
3. Firefox effettua una verifica con la CA per garantire che il sito web a cui si è connessi corrisponda al sito web nel certificato del server.
4. Firefox genera una chiave simmetrica (singola) per crittare il traffico HTTP della connessione.
5. Firefox critta la chiave simmetrica con la chiave pubblica del certificato del server.
6. La chiave privata, che si trova sul server web, decritta i dati di connessione.

Visualizzare un certificato

Per visualizzare un certificato, seguire questa procedura:

1. Fare clic sull'icona del lucchetto nella barra degli indirizzi.

   

2. Fare clic su Connessione sicura.

   

3. Fare clic su Ulteriori informazioni.

   

4. Nella finestra di pop-up, fare clic su Visualizza certificato.

   

In Firefox verrà aperta la pagina about:certificate con il certificato per il sito web in cui si trova:

Le tre schede mostrano, da sinistra a destra, il certificato server, il certificato intermedio e il certificato radice.

Contenuto di un certificato

Un certificato TLS di un sito web contiene le seguenti informazioni:

• Nome soggetto: contiene il nome del sito web e attributi facoltativi, ad esempio informazioni sull'organizzazione proprietaria del certificato.
• Nome autorità emittente: identifica l'Autorità emittente che ha rilasciato il certificato.
• Validita: visualizza il periodo di validità del certificato.
• Estensione nome alternativo soggetto: elenca gli indirizzi dei siti web per i quali il certificato è valido.
• Informazioni chiave pubblica: elenca gli attributi della chiave pubblica del certificato.
• Numero di serie: identifica univocamente il certificato.
• Algoritmo di firma: algoritmo utilizzato per creare la Firma.
• Impronte digitali: hash del file del certificato in formato binario DER.
• Utilizzo della chiave e utilizzo esteso della chiave: specifica come potrebbe essere utilizzato il certificato, per esempio per confermare la proprietà di un sito web (Autenticazione sito web).
• ID chiave soggetto: un identificatore generato dalla chiave pubblica del certificato TLS come modo per identificare il certificato.
• ID chiave autorità: un identificatore generato dalla chiave pubblica del certificato TLS come modo per identificare la chiave pubblica corrispondente alla chiave privata utilizzata per firmare il certificato.
• Endpoint CRL: la posizione dell'elenco dei certificati revocati (Certificate Revocation List o CRL) dell'autorità di certificazione emittente (Certification Authority o CA).
• Info autorità (AIA): contiene il metodo di convalida per l'autorità di certificazione e il file del certificato intermedio.
• Criteri certificato: contiene il tipo di convalida del certificato e un link alla dichiarazione sulle pratiche di certificazione (Certification Practice Statement o CPS) dell'autorità di certificazione.
• SCT inclusi: elenca i timestamp (data e ora) dei certificati firmati (Signed Certificate Timestamps o SCT).

Certificati problematici

Quando si visita un sito web il cui indirizzo inizia con https e si verifica un problema con il certificato TLS, viene mostrata una pagina di errore. Alcuni degli errori più comuni relativi ai certificati sono elencati in questa pagina.

Per visualizzare il certificato problematico, procedere nel seguente modo:

1. Nella pagina Attenzione: potenziale rischio per la sicurezza, fare clic su Avanzate…

   

2. Fare clic su Visualizza certificato.

   

Verrà visualizzata la pagina about:certificate del certificato problematico.