Qual è la differenza tra certificati client e certificati server?
I certificati client consentono a utenti e persone di dimostrare la propria identità a un server. Vengono utilizzati di solito da organizzazioni private per autenticare le richieste ai server remoti. I certificati server sono invece noti come certificati TLS/SSL e si utilizzano per proteggere i server e i domini web. Svolgono un ruolo molto simile a quello dei certificati client, con la differenza che questi ultimi vengono utilizzati per identificare il cliente/individuo mentre i primi autenticano il proprietario del sito.
Che cos'è un certificato client?
Come indica il nome, i certificati client si usano per identificare un client o un utente, autenticando il client al server e stabilendo con precisione chi sia. Per alcuni, parlare di PKI o di "Certificati Client" evoca immagini di aziende che proteggono e completano le transazioni online dei loro clienti, ma tali certificati sono presenti in tutta la nostra vita quotidiana, in ogni forma: quando ci registriamo in una VPN, utilizziamo una carta di credito presso un bancomat, una scheda magnetica per accedere a un edificio o una smart card per il trasporto pubblico. Questi certificati digitali sono presenti anche nelle pompe di benzina, nei robot delle catene di montaggio delle automobili e persino nei nostri passaporti.
L'uso dei certificati client è particolarmente diffuso in Europa e in molti altri Paesi: i governi rilasciano carte di identità che offrono servizi come il pagamento di tasse locali, bollette dell'elettricità e patenti di guida. Il motivo è semplice: i certificati dei clienti svolgono un ruolo fondamentale per garantire la sicurezza online.
Cos'è un certificato server?
I certificati server vengono generalmente rilasciati ai nomi host, che possono includere un nome di macchina (come 'XYZ-SERVER-01') o un nome di dominio (come 'www.digicert.com'). Un browser web che raggiunge il server convalida che il certificato del server TLS/SSL sia autentico. Ciò comunica all'utente che la sua interazione con il sito web non è soggetta a intercettazioni e che il sito web rappresenta fedelmente la sua identità. Questa sicurezza è essenziale per il commercio elettronico, motivo per cui i certificati sono ormai ampiamente diffusi.
In che modo i certificati server e i certificati client cooperano per garantire la sicurezza online?
Nel concreto, il proprietario di un sito web ottiene un certificato server presentando una richiesta di firma del certificato (CSR) a un provider di certificati come DigiCert. Si tratta di un documento elettronico che contiene tutte le informazioni essenziali: nome del sito web, indirizzo email di contatto e informazioni sull'azienda.
Il provider del certificato firma la richiesta, generando un certificato pubblico che viene inviato a ogni browser web che si connette al sito. Così facendo dimostra al browser web che il provider ha rilasciato un certificato alla persona considerata legittima proprietaria del sito, un aspetto fondamentale. Prima di emettere un certificato, tuttavia, il provider del certificato richiede l'indirizzo email di contatto per il sito web all'ente di registrazione dei nomi di dominio pubblico e verifica che l'indirizzo pubblicato corrisponda a quello fornito nella richiesta di certificato, garantendo che ci sia reciproca fiducia.
Inoltre, puoi configurare un sito web in modo che ogni utente che desidera connettersi debba fornire un certificato client, un nome utente e una password validi. In genere si parla di "autenticazione a due fattori": in questo caso, "qualcosa che conosci" (password) e "qualcosa che hai" (certificato).
Per chi effettua transazioni sul web, i certificati rappresentano la fine dell'anonimato e al contrario garantiscono che è possibile fidarsi dei siti web con cui si interagisce online. In un mondo digitale in cui la nostra sicurezza viene messa continuamente in discussione, questa è una rassicurazione preziosa.
