Cosa sono i certificati digitali?
L'e-commerce è fiorito grazie alla capacità di eseguire transazioni sicure online utilizzando gli strumenti adeguati. Questi strumenti sono crittografia a chiave pubblica e certificati digitali.
La crittografia a chiave pubblica utilizza SSL (Secure Sockets Layer) per crittografare tutti i dati tra il computer del cliente e il sito Web di e-commerce. Le informazioni vengono inviate in forma crittografata al sito utilizzando la chiave pubblica del sito. Alla ricezione delle informazioni, il sito utilizza la sua chiave privata per decrittografare le informazioni. Questa si chiama coppia di chiavi . Gli interlopers che potrebbero acquisire dati lungo il percorso lo troveranno illeggibile.
Il problema, tuttavia, è che chiunque può creare un sito Web e una coppia di chiavi utilizzando un nome che non appartiene a loro. È qui che entrano in gioco i certificati digitali. I certificati digitali sono carte d'identità affidabili in forma elettronica che vincolano la chiave di crittografia pubblica di un sito Web alla loro identità a fini di fiducia pubblica.
I certificati digitali sono emessi da una terza parte indipendente, riconosciuta e di reciproca fiducia che garantisce che il sito Web operativo è chi afferma di essere. Questa terza parte è nota come Autorità di certificazione (CA) . Senza i certificati digitali, il pubblico ha poche garanzie sulla legittimità di un determinato sito Web.
Un certificato digitale contiene il nome, l'indirizzo, il numero di serie, la chiave pubblica, la data di scadenza e la firma digitale di un'entità, tra le altre informazioni. Quando un browser Web come Firefox, Netscape o Internet Explorer stabilisce una connessione sicura, il certificato digitale viene automaticamente capovolto per la revisione. Il browser lo verifica per individuare anomalie o problemi e, se presente, genera un avviso. Quando i certificati digitali sono in ordine, il browser completa le connessioni sicure senza interruzioni.
Sebbene rari, ci sono stati casi di truffe di phishing che duplicano un sito Web e "dirottano" il certificato digitale del sito per ingannare i clienti nel rinunciare alle informazioni personali. Queste truffe hanno comportato il reindirizzamento del cliente al sito reale per l'autenticazione, per poi riportarlo sul sito Web duplicato. Altre truffe di phishing utilizzano certificati digitali autofirmati per eliminare del tutto la terza parte di fiducia o l'autorità di certificazione. L'emittente del certificato digitale e il firmatario sono la stessa cosa. In questo caso un browser avviserà, ma la maggior parte degli utenti fa comunque clic, senza capire la differenza.
I certificati digitali svolgono un ruolo fondamentale nel proteggere il commercio online. Se il browser avvisa l'utente di un problema con un certificato digitale, si consiglia di non fare clic. Invece, chiama l'azienda utilizzando un numero di telefono dalle tue dichiarazioni o dalla tua rubrica e informati sul problema.
Non tutte le autorità di certificazione sono uguali. Alcune CA sono più recenti e meno conosciute. Due esempi di CA altamente affidabili sono VeriSign e Thawte. Se il tuo browser non riconosce un'autorità di certificazione, ti avviserà.