Certificato SSL EV, cosa è e quando acquistarlo

Certificato SSL EV: come funziona e chi può ottenere un certificato SSL EV, con indicazione di tutti gli step del processo di validazione

Informazioni sensibili via Internet in tutta sicurezza: questo è l’obiettivo di chi decide di implementare un certificato SSL sul proprio sito Web. I certificati SSL, infatti, assicurano che le informazioni inviate da un computer a un altro elaboratore, attraverso la Rete, siano criptate e quindi indecifrabili a chiunque si interponga in modo fraudolento all’interno della comunicazione fra le due macchine legittime e compia quindi un attacco di tipo MITM (Man In The Middle).

Un certificato SSL garantisce l’autenticazione di un web server al client (quindi certifica l’identità del computer a cui si stanno inviando le informazioni richieste e del suo proprietario) e, al tempo stesso, realizza un canale crittografato per lo scambio di informazioni cifrate con l’uso di una chiave pubblica e una chiave privata.

Come già analizzato, esistono differenti tipologie di certificato SSL e ognuna ha un suo scopo, una sua funzione e una sua specifica applicazione.

Nella varietà di certificati, quello generalmente più costoso da acquistare e più complicato da ottenere è il certificato SSL EV. L’acronimo EV sta per Extended Validated e, a volte, nei listini degli enti CA certificatori può essere menzionato insieme al certificato SSL OV (Organization Validated) o essere proposto a parte.

A chi non sapesse esattamente di cosa stiamo parlando, è sufficiente visitare il sito PayPal per vedere cosa accade alla barra degli indirizzi del proprio browser. Indipendentemente dal programma usato per navigare, infatti, la barra si colora di verde, viene mostrato un lucchetto e alternativamente il nome della società del sito che si sta visitando e della società CA che ha erogato il certificato.

Certificato SSL EV, cosa è e quando acquistarlo

Il colore verde della barra degli indirizzi indica che sul sito è installato un certificato SSL di tipo EV.

Certificato SSL EV e le procedure di verifica

A differenza di quanto molti pensano, la differenza fra un certificato SSL EV e gli altri tipi di certificati non è nella tecnologia implementata, ma nella procedura di validazione operata dall’ente certificatore per il rilascio del certificato stesso.

Infatti, tutti i tipi di certificati vengono rilasciati semplicemente verificando l’esattezza dei dati inseriti nei moduli di richieste online, inviando solamente un’email di verifica al contatto amministrativo indicato come responsabile del dominio.

Tutto questo non vale per il certificato SSL EV! Infatti, la CA che rilascia il certificato non può prendere per buono nessuno dei dati digitati nel modulo di acquisto del certificato e ne deve verificare la correttezza, la validità e l’esistenza, a conferma dell’identità del nome legale dell’organizzazione e del suo rappresentante, dell’indirizzo Web, dell’indirizzo fisico e di ogni altro nome business o marchio assunto dall’organizzazione che richiede il certificato.

Questo processo amministrativo più lungo implica ovviamente maggiori costi, da cui deriva il prezzo superiore del certificato stesso.

Per acquistare un certificato SSL EV, bisogna compilare il form di acquisto presente sul sito dell’ente certificatore o su quello del provider autorizzato alla rivendita. I soggetti che possono procedere all’acquisto di un certificato SSL EV sono:

  • agenzie governative;
  • società per azioni;
  • associazioni generali;
  • associazioni senza corporazione;
  • società di persone.

Questi istituti possono richiedere un certificato SSL EV e, a seguito della richiesta, inizierà da parte dell’ente CA il processo di validazione vero e proprio, teso a confermare l’esistenza dell’azienda o associazione attraverso risorse di terze parti, verificare che la richiesta sia stata effettuata per volontà reale dell’azienda e confermare tutti i dati inseriti.

Certificato SSL EV step by step

L’ente CA provvederà quindi a:

  • controllare la reale proprietà del dominio, effettuando opportuni controlli sul database Whois o chiedendo al richiedente di apportare una modifica al sito Web attestato sul dominio;
  • verificare l’identità della persona richiedente e, soprattutto, appurare che agisca per conto e nome dell’azienda/associazione in modo legittimo e con opportuna autorizzazione. Queste verifiche possono avvenire contattando direttamente il reparto di risorse umane dell’azienda e richiedendo l’invio di una comunicazione controfirmata dal rappresentante legale dell’ente richiedente o da una persona da lui autorizzata alla richiesta del certificato SSL. Su questi documenti viene effettuato anche il controllo sulla corrispondenza delle firme;
  • appurare che l’ente richiedente sia riconosciuto a livello legale anche presso i registri governativi e nel caso vi siano dei marchi che differiscono dal nome dell’ente, la CA verifica anche questi nomi alternativi;
  • accertare l’indirizzo fisico dell’ente attraverso controlli incrociati sui database governativi e, se necessario, effettuando un sopralluogo fisico del posto dove ha sede l’ente. In questa occasione, l’inviato del CA può acquisire foto e parlare con il personale dell’azienda;
  • Indagare sulla validità del numero o dei numeri telefonici forniti in fase di richiesta, effettuando una o più telefonate di prova.

Una volta che tutte le verifiche su descritte hanno esito positivo e sono state escluse tutte le possibilità di furto di identità, il processo si conclude con il rilascio del certificato SSL EV richiesto e l’opportunità per l’azienda di installarlo per la salvaguardia del proprio business e dei propri utenti Web.

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *