Termini PKI

La Public Key Infrastructure (PKI) è alla base della sicurezza dei moderni sistemi di SSL Certificates e di fiducia digitale.

La comprensione della terminologia chiave aiuta le organizzazioni a implementare solide misure di sicurezza e a prendere decisioni informate sulle loro esigenze di SSL Certificates.

Trustico® fornisce questa panoramica completa dei concetti essenziali della PKI per aiutare a chiarire il complesso mondo della sicurezza digitale.

Componenti e concetti fondamentali della PKI

Gli elementi fondamentali della PKI sono le coppie di chiavi pubbliche e private, che lavorano insieme per consentire comunicazioni sicure.

Una chiave pubblica può essere distribuita liberamente, mentre la corrispondente chiave privata deve rimanere protetta dal proprietario. Questo sistema di crittografia asimmetrica consente ai SSL Certificates di funzionare efficacemente per proteggere le comunicazioni web.

Le Certificate Authority (CA) sono terze parti fidate che convalidano ed emettono SSL Certificates. Queste organizzazioni seguono rigorose linee guida del settore e pratiche di sicurezza per mantenere l'integrità dell'ecosistema PKI.

Quando una CA emette un certificato SSL, in sostanza garantisce la legittimità del titolare del certificato SSL.

La Certificate Signing Request (CSR) rappresenta il primo passo per ottenere un SSL Certificate. Questo file codificato contiene le informazioni sull'organizzazione richiedente e la chiave pubblica, che la CA utilizza per generare l'SSL Certificate finale.

La creazione di una CSR correttamente formattata è fondamentale per il successo dell'emissione di un SSL Certificates.

Termini di autenticazione e convalida

Domain Validation (DV), Organization Validation (OV) ed Extended Validation (EV) rappresentano i tre principali livelli di convalida degli SSL Certificates.

Ogni livello richiede una verifica progressivamente più approfondita dell'identità dell'organizzazione richiedente prima di poter emettere un SSL Certificates.

Il Common Name (CN) si riferisce al nome di dominio completamente qualificato che il SSL Certificate proteggerà. Per gli SSL Certificates wildcard, il Common Name include un asterisco per indicare la copertura di più sottodomini.

La comprensione della corretta formattazione del Common Name aiuta a prevenire i problemi di implementazione degli SSL Certificates.

Il Subject Alternate Names (SAN) consente a un singolo SSL Certificate di proteggere più nomi di dominio. Questa funzione offre flessibilità e risparmio rispetto all'acquisto di singoli SSL Certificates per ogni dominio.

I moderni SSL Certificates utilizzano comunemente la funzionalità SAN per proteggere più domini correlati.

Protocolli e standard di sicurezza

Transport Layer Security (TLS) rappresenta lo standard attuale per le comunicazioni criptate, essendosi evoluto dal vecchio protocollo Secure Sockets Layer (SSL Certificates).

Sebbene si utilizzi ancora il termine SSL Certificate, le moderne implementazioni utilizzano i protocolli TLS per migliorare la sicurezza e le prestazioni.

X.509 definisce il formato standard per gli SSL Certificate e altri certificati digitali SSL.

Questo standard, riconosciuto a livello internazionale, garantisce la compatibilità tra diversi sistemi e applicazioni. Tutti gli SSL Certificates legittimi sono conformi alle specifiche X.

509 per struttura e contenuto.

L'Online SSL Certificate Status Protocol (OCSP) consente di verificare in tempo reale la validità degli SSL Certificate.

L'OCSP Stapling migliora questo processo consentendo ai server web di memorizzare nella cache la risposta OCSP, riducendo i tempi di ricerca e migliorando le prestazioni, pur mantenendo la sicurezza.

Gestione e archiviazione delle chiavi

I moduli di sicurezza hardware (HSM) forniscono un'archiviazione sicura per le chiavi private e altri materiali crittografici sensibili. Questi dispositivi specializzati offrono una protezione fisica e logica contro l'accesso non autorizzato o la manomissione.

Molte Certificate Authority utilizzano gli HSM come parte della loro infrastruttura di sicurezza.

La lunghezza della chiave si riferisce alla dimensione delle chiavi crittografiche utilizzate negli SSL Certificates, tipicamente misurata in bit.

Le chiavi di lunghezza maggiore garantiscono una maggiore sicurezza, ma richiedono più risorse computazionali. Gli attuali standard di settore raccomandano una lunghezza minima di 2048 bit per le chiavi RSA.

La revoca di un SSL Certificate si verifica quando un certificato SSL deve essere invalidato prima della sua scadenza naturale. Ciò può accadere a causa della compromissione della chiave privata, di cambiamenti nell'organizzazione o di altri problemi di sicurezza.

Le SSL Certificate Revocation List (CRL) e OCSP forniscono meccanismi per controllare lo stato di validità dei certificati SSL.