Ti ho già spiegato l’importanza di un certificato SSL per qualsiasi tipologia di sito e, a maggior ragione, per un portale di e-commerce. Ti ho anche già detto che qui alla centrale Kolst crediamo così fermamente nel valore di un certificato SSL da includerlo di default in tutte le nostre offerte hosting.

Qui, voglio fornirti maggiori informazioni su cosa ti offriamo e cosa significa quando nella lista delle caratteristiche dei nostri hosting trovi la dicitura Certificato SSL condiviso.

Come sicuramente ben sai, quando un utente visita il tuo sito Web, il suo browser Web effettua una connessione al server Web configurato per far funzionare le tue pagine e invia ad esso il nome del dominio e il nome delle pagine che vuole visitare. Il Web server riceve la richiesta, la elabora e si mette a disposizione del client per fornirgli tutte le informazioni necessarie.

Quanto la connessione è protetta con protocollo SSL/TLS (Transport Layer Security), questo processo diventa leggermente più complicato.

Il browser che si connette al server, richiede ad esso un certificato digitale di autenticità, prima di comunicare al server stesso quale dominio e quali pagine vuole visitare. Una volta ricevuto il certificato, il browser verifica che la firma digitale del certificato sia valida e riconosciuta da una autorità certificatrice (CA o Certificate Authority) riconosciuta utilizzando una cifratura a chiave pubblica. Una volta ottenuta questa informazione, il browser verifica nel contenuto cifrato che corrispondano il nome del dominio e delle pagine richieste con quelle presenti sul server e se questo accoppiamento è verificato, la connessione procede nel modo usuale, con la differenza che i dati transitano dal server verso il browser in modo criptato.

Qualora queste verifiche non vadano a buon fine, all’utente che sta visitando il tuo sito, il browser mostra un messaggio di allerta ed effettua la disconnessione del client, impendendo di andare oltre nella navigazione delle pagine richieste. In questo modo, il browser protegge l’utente da un possibile attacco Men-in-The-Middle (MiTM).

Affinché la navigazione continui normalmente, al sito che usa il certificato SSL è richiesto l’utilizzo di un indirizzo IP dedicato. In questo modo, il server Web può utilizzare l’indirizzo IP per identificare il sito a cui il visitatore vuole connettersi e inviare così al browser richiedente il certificato corrispondente.

Il problema SSL degli indirizzi IP e l’SNI

Poiché il numero di indirizzi IP è limitato, associare un singolo indirizzo IP per l’uso di un certificato SSL a ogni singolo sito rappresenta uno spreco ed è per giunta oneroso dal punto di vista tecnico ed economico per qualsiasi provider. Questo costo si riflette poi sull’esborso che tu in qualità di cliente devi corrispondere per avere un sito protetto da un certificato SSL valido.

Per evitare quindi tanto lo spreco di indirizzi IP quanto l’esborso economico, viene implementata una tecnologia che prende il nome di SNI (Server Name Indication), che rappresenta la soluzione al problema.

L’SNI è un’estensione del protocollo di sicurezza TLS e permette a diversi certificati SSL di condividere lo stesso indirizzo IP e la medesima porta TCP di interrogazione, garantendo così una connessione HTTPS a un sito Web senza che questo utilizzi il medesimo certificato SSL destinato a un altro sito Web attestato sullo stesso indirizzo IP.

Infatti, insieme alla richiesta del certificato, l’SNI comunica subito al server Web quali sono i nomi delle pagine e del dominio a cui il browser vuole collegarsi e questo consente al server Web di individuare il corretto certificato SSL indipendentemente dall’indirizzo IP a cui questo è associato.

In questo consiste la tecnologia dei certificati SSL condivisi e l’utente che si collega al tuo sito non nota alcuna differenza rispetto a un certificato SSL non condiviso.

D’altra parte, affinché l’SNI funzioni è necessario che sia supportato dal browser che visita il sito Web e dal server Web di riferimento. In realtà, tutti i più moderni browser e sistemi operativi (IE 7 solo su Windows Vista o più recenti, Firefox dalla versione 2.0, Opera dalla 8.0, Opera Mobile dalla 10.1, Google Chrome su tutte le piattaforme Windows e Mac OS X, Konqueror dalla versione 4.7, Safari, ecc.) e i più nuovi Web server (Apache dalla versione 2.2.12, Nginx, Litespeed dalla versione 4.1, IIS dalla versione 8, ecc.) supportano l’estensione SNI, per cui puoi stare certo che il certificato SSL che ti offriamo è funzionante senza criticità.