L’e-commerce è fiorito grazie alla possibilità di eseguire transazioni sicure online utilizzando gli strumenti appropriati. Questi strumenti sono la crittografia a chiave pubblica e i certificati digitali.
La crittografia a chiave pubblica utilizza SSL (Secure Sockets Layer) per crittografare tutti i dati tra il computer del cliente e il sito di e-commerce. Le informazioni vengono inviate in forma crittografata al sito utilizzando la chiave pubblica del sito. Dopo aver ricevuto le informazioni, il sito utilizza la propria chiave privata per decrittografare le informazioni. Questa è chiamata coppia di chiavi. Gli intrusi che potrebbero acquisire dati lungo il percorso lo troveranno illeggibile.
Il problema, tuttavia, è che chiunque può creare un sito Web e una coppia di chiavi utilizzando un nome che non gli appartiene. È qui che entrano in gioco i certificati digitali. I certificati digitali sono carte d’identità affidabili in formato elettronico che legano la chiave di crittografia pubblica di un sito Web alla loro identità per scopi di fiducia pubblica.
I certificati digitali sono emessi da una terza parte indipendente, riconosciuta e di fiducia reciproca che garantisce che il funzionamento del sito web sia chi afferma di essere. Questa terza parte è nota come Certification Authority (CA). Senza certificati digitali, il pubblico ha poche garanzie sulla legittimità di un particolare sito web.
Un certificato digitale contiene il nome, l’indirizzo, il numero di serie, la chiave pubblica, la data di scadenza e la firma digitale di un’entità, tra le altre informazioni. Quando un browser Web come Firefox, Netscape o Internet Explorer effettua una connessione sicura, il certificato digitale viene automaticamente consegnato per la revisione. Il browser verifica la presenza di anomalie o problemi e, se ne rileva, visualizza un avviso. Quando i certificati digitali sono in ordine, il browser completa le connessioni sicure senza interruzioni.
Sebbene rari, ci sono stati casi di truffe di phishing che duplicano un sito Web e “dirottano” il certificato digitale del sito per ingannare i clienti e costringerli a fornire informazioni personali. Queste truffe implicavano il reindirizzamento del cliente al sito reale per l’autenticazione, quindi il suo ritorno al sito Web ingannato. Altre truffe di phishing utilizzano certificati digitali autofirmati per eliminare del tutto la terza parte fidata o l’autorità di certificazione. L’emittente del certificato digitale e il firmatario sono la stessa cosa. Un browser avviserà in questo caso, ma la maggior parte degli utenti fa comunque clic, non comprendendo la differenza.
I certificati digitali svolgono un ruolo fondamentale nel garantire la sicurezza del commercio online. Se il tuo browser ti avvisa di un problema con un certificato digitale, ti consigliamo di non fare clic. Invece, chiama l’azienda utilizzando un numero di telefono dal tuo estratto conto o dall’elenco telefonico e chiedi informazioni sul problema.
Non tutte le autorità di certificazione sono uguali. Alcune CA sono più recenti e meno conosciute. Due esempi di CA altamente affidabili sono VeriSign e Thawte. Se il tuo browser non riconosce un’autorità di certificazione, ti avviserà.