Certificati SSL/TLS, capire tutto

Un certificato digitale

Un certificato digitale è come una carta d’identità per un sito web. Consente al browser o a una macchina (ad esempio un gateway) di verificare che il sito sia quello che dichiara di essere e che la connessione sia sicura (crittografata).

• Questi certificati sono emessi da un’autorità fidata (ad esempio Let’s Encrypt), un po’ come un municipio che rilascia una carta d’identità.
• Hanno una data di scadenza: devono essere rinnovati regolarmente, altrimenti i browser o i dispositivi si rifiutano di connettersi (pensano che la carta d’identità sia scaduta).
• Esistono anche i certificati root: sono le “schede madri” memorizzate nei dispositivi. Se uno di questi certificati radice scade o non è più riconosciuto, tutti i certificati che dipendono da esso possono essere rifiutati.

I nostri gateway (GTW) includono un elenco di certificati radice.

Se uno di questi certificati radice scade, potrebbero non fidarsi più dei certificati Let’s Encrypt validi.

Una catena di fiducia

Un certificato è come una catena di fiducia. In fondo, c’è il certificato del sito web o del gateway. In cima c’è un certificato intermedio, che garantisce la validità del certificato del sito. In cima, c’è un certificato radice (il “master”), che viene riconosciuto direttamente dal computer o dal gateway come affidabile. Questa è la cosiddetta catena di certificati: Sito → Intermedio → Radice.