Server, SSL e ecommerce: ma che casino!

[Aerendir]

Ciao a tutti, vorrei parlare di SSL e certificati e di quanto questi siano veramente importanti per un ecommerce.

Comincio a dirvi subito cosa ho capito leggendo un po' di materiale in rete.

1) Assunti
1.1) Funzionamento: per poter far funzionare un certificato SSL è necessario che questo sia "scaricato/nstallato" nel browser dell'utente
1.2) Per avere un certificato ci si rivolge ad una certification authority
1.3) La sicurezza del certificato è indipendente dalla certification authority poichè ciò che influisce è il tipo di crittografia utilizzato ed il suo livello di cifratura (es 128 bit)
1.4) Per utilizzare un certificato SSL si deve avere un IP dedicato, altrimenti si condivide il certificato con tutti i siti con i quali condividiamo l'IP cui il certificato si riferisce

Queste affermazioni sono vere? C'è bisogno di qualche correzione?

Continuo...

2) Il prezzo di un certificato varia essenzialmente in base a tre fattori:
2.1) La certification authority che ha emesso il certificato
2.2) Il tipo di cifratura utilizzato
2.3) Se il certificato è di tipo Wildcard (cioè valido per dominio di 3° livello come *.dominio.tld)

Rispetto alla 2.1: più la certification authority è diffusa, più probabilità ci sono che il browser dell'utente sia "compatible" e che quindi abbia installato il certificato. Questo diminuisce le probabilità che l'utente riceva un messaggio che potrebbe apparire allarmante. Più la certification authority è diffusa maggiore sarà il prezzo

Rispetto alla 2.2: serve almeno un livello pari a 128bit

Rispetto alla 2.3: con i certificati wildcard si ha di fatto un unico certificato condiviso da tutti siti che fanno riferimento al dominio principale.

Queste considerazioni sono vere? C'è qualche imprecisione? Potreste aggiungere qualcosa?

Di fatto il certificato SSL mi serve per garantire la sicurezza delle transazioni con carta di credito. Se mi appoggio ad un gateway esterno (tipo PayPal o GestPay) non ho più bisogno di un certificato SSL perchè di tutto sto casino si occupa il gestore del gateway o mi sbaglio?

Spero di essere stato chiaro ma soprattutto spero che qualcuno possa chirirmi gli eventuali errori o imprecisioni perchè a ben vedere è molto più complicato che scegliere il piano di hosting (argomento anch'esso di per se non proprio chiarissimo a chi ci si avvicina per la prima volta!).

Grazie mille a tutti, ciao!

[FlameNetworks]

Ciao,

rispondo per punti.

1.1) Funzionamento: per poter far funzionare un certificato SSL è necessario che questo sia "scaricato/nstallato" nel browser dell'utente

Si. Viene comunque fatto automaticamente all'apertura del sito.

1.2) Per avere un certificato ci si rivolge ad una certification authority

Si

1.3) La sicurezza del certificato è indipendente dalla certification authority poichè ciò che influisce è il tipo di crittografia utilizzato ed il suo livello di cifratura (es 128 bit)

No. E' la CA che garantisce la validità e determinati standard di sicurezza del certificato SSL.
Posso anche emettere un certificato self-signed a 2048 bit, ma essendo appunto rilasciato da me, che non sono una CA, non vi sono garanzie sulla sicurezza.

1.4) Per utilizzare un certificato SSL si deve avere un IP dedicato, altrimenti si condivide il certificato con tutti i siti con i quali condividiamo l'IP cui il certificato si riferisce

Si.

Queste affermazioni sono vere? C'è bisogno di qualche correzione?

Continuo...

2) Il prezzo di un certificato varia essenzialmente in base a tre fattori:
2.1) La certification authority che ha emesso il certificato
2.2) Il tipo di cifratura utilizzato
2.3) Se il certificato è di tipo Wildcard (cioè valido per dominio di 3° livello come *.dominio.tld)

In linea di massima si, sono questi gli elementi che fanno variare il costo di un certificato SSL.

Rispetto alla 2.1: più la certification authority è diffusa, più probabilità ci sono che il browser dell'utente sia "compatible" e che quindi abbia installato il certificato. Questo diminuisce le probabilità che l'utente riceva un messaggio che potrebbe apparire allarmante. Più la certification authority è diffusa maggiore sarà il prezzo

Il discorso della compatibilità non sussiste. Tutti i browser sono in grado di aprire un sito via SSL. E' importante, per evitare warning, che il certificato sia installato (lato server) correttamente.
Non è corretto, ad esempio, avere un certificato SSL rilasciato per pippo.pluto.it ed utilizzarlo per pluto.it. I browser effettuano una serie di controlli, anche formali, sui certificati SSL prima di considerarli attendibili.

Rispetto alla 2.2: serve almeno un livello pari a 128bit

Si, è il minimo.

Rispetto alla 2.3: con i certificati wildcard si ha di fatto un unico certificato condiviso da tutti siti che fanno riferimento al dominio principale.

Si, hai un unico certificato SSL per dominio e tutti i sottodomini ad esso associati.

Queste considerazioni sono vere? C'è qualche imprecisione? Potreste aggiungere qualcosa?

Di fatto il certificato SSL mi serve per garantire la sicurezza delle transazioni con carta di credito. Se mi appoggio ad un gateway esterno (tipo PayPal o GestPay) non ho più bisogno di un certificato SSL perchè di tutto sto casino si occupa il gestore del gateway o mi sbaglio?

Se usi un ente esterno per la parte di billing, si da per scontato che già disponga di queste misure di sicurezza.
Comunque è sempre buona regola se sul sito si ha un'area clienti con l'anagrafica e gli ordini, utilizzare un certificato SSL anche in questa fase, quindi non solo per i pagamenti.

Spero di essere stato chiaro ma soprattutto spero che qualcuno possa chirirmi gli eventuali errori o imprecisioni perchè a ben vedere è molto più complicato che scegliere il piano di hosting (argomento anch'esso di per se non proprio chiarissimo a chi ci si avvicina per la prima volta!).

Grazie mille a tutti, ciao![/QUOTE]

[vhosting]

Comunque è sempre buona regola se sul sito si ha un'area clienti con l'anagrafica e gli ordini, utilizzare un certificato SSL anche in questa fase, quindi non solo per i pagamenti.

Cmq questo non è un fattore obbligatorio. L'importante è solamente che le transazioni avvengono in modo sicuro (quindi con SSL). Questo fattore per fortuna viene garantito dai vari gateway esempio paypal, iwsmile (lo consiglio caldamente), banca sella, triveneto ecc ecc ... tutti i loro gateway sono cifrati tramite SSL.
Ciao

[FlameNetworks]

Non ho detto che è OBBLIGATORIO, dico semplicemente che è più sicuro avere un'area clienti protetta da un certificato SSL.
A mio modo di vedere è anche più professionale.

[vhosting]

Alla fine non sono dati sensibili...quindi si può anche non cifrarli

[FlameNetworks]

L'anagrafica di un cliente secondo te non sono dati sensibili?

[vhosting]

L'anagrafica di un cliente secondo te non sono dati sensibili?

Ma non lo dico io

Dati sensibili - Wikipedia
Servizi e consulenze dati sensibili

[Uno]

La cifratura è obbligatoria solo per questioni sanitarie o identificazioni sessuali.
Anzi è pure aggirabile usando dei codici identificativi che non associano tale persona a tale scheda.

Per assurdo dal punto di vista legale un certificato ssl non è obbligatorio per gestire le carte di credito (lo è se non si vogliono perdere clienti ) ma lo è per un sito di incontri in cui uno dichiara le sue preferenze sessuali... anche se poi rendendo il tutto pubblico (e gli utenti lo sanno) si aggira anche li la faccenda.


Debbo dire che a me questa legge sulla privacy (scusate l'O.T.) mi ha sempre lasciato perplesso. Io compilo e faccio firmare il modulo solo per poter poi emettere parcella. Ma se la persona si rifiuta di firmare che faccio? Non faccio fattura?
Se la persona dopo 3 mesi come dice la legge pretende di essere cancellata dal mio elenco clienti che faccio, straccio la fattura?

No perchè l'art24 specifica i
Casi nei quali può essere effettuato il trattamento senza consenso
e più precisamente ai commi
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;

Ma allora? Ci prendiamo in giro?

Inoltre cifratura obbligatoria per le questioni sanitarie e poi la stessa parcella (che non può essere cifrata) gira minimo per l'ufficio di un commercialista, ma se il cliente la scarica deve girare anche per l'ufficio di un'altro commercialista (se non è per coincidenza lo stesso)

Tra parentesi non ho mai capito e nessuno mi ha saputo dire chi è controlla le procedure, non so se parte qualcuno direttamente dall'ufficio del garante...
So per certo che alla GdF e ai funzionari dell'ufficio imposte non interessa, perchè quando ho chiesto informazioni non mi hanno detto, ne saputo dire nulla.

Fine O.T.

[danielej]

Certo che siamo OT rispetto alla discussione originale, magari si potrebbe tagliare il thread o aprirne uno nuovo.

Personalmente seguo la logica che tutto ciò che si può criptare va criptato, ma a parte questo è chiaro che alla fine dipende dai dati che passano sulla rete decidere cosa proteggere e cosa no.

Prendendo per certo di passare da un gateway esterno per la transazione, probabilmente se acquisto online un elettrodomestico o qualsiasi cosa fisicamente inscatolata e spedita, metterò come soli dati i miei recapiti, e a quel punto poco importa se non sono protetti da crittografia.

Guardando il problema da un punto di vista di servizi forniti online, c'è da vedere che vantaggi potrebbe avere un malintenzionato ad intercettare i dati scambiati con un determinato sito, potrebbe ad esempio ad intercettare dati di accesso a servizi critici di un cliente che passano in chiaro, ad esempio se qualcuno intercettasse i dati di un account rivenditore sarebbero a rischio tutti i clienti di questo.

Concludo però con una esperienza personale, almeno per quello che vedo direttamente i dati che potrebbero essere fatti passare protetti da crittografia vengono sistematicamente fatti passare in chiaro, es. dando la possibilità di decidere di disattivare l'invio delle copie dei ticket via e-mail quasi nessuno lo fa e tutto passa quotidianamente via mail.

[Lineahosting]

Indipendentemente dall'obbligatorietà o meno, se io vendessi prodotti tramite un E-store farei questa breve considerazione:

1) vale la pena, dopo aver investito presumibilmente molti soldi nella creazione del negozio online, risparmiare 10-30 euro all'anno per un certificato SSL? (a tanto ammonta il costo dei certificati, perlomeno quelli più economici, che comunque son meglio di niente)

2) posto che uno dei punti chiave di uno shop online è conquistare la fiducia dei propri potenziali clienti, è più rassicurante far loro compilare un questionario su una pagina non sicura oppure sotto https con magari un bel logo che, cliccato, indica l'autenticità del certificato, a quale società è intestato ecc? Che poi questa è la ragione essenziale che determina la differenza di costo tra i vari tipi di certificato

Io dunque la metterei in questi termini: la risposta a queste due domande determina se vogliamo che il nostro sito abbia un certificato SSL e di quale tipo.

[vhosting]

Indipendentemente dall'obbligatorietà o meno, se io vendessi prodotti tramite un E-store farei questa breve considerazione:

1) vale la pena, dopo aver investito presumibilmente molti soldi nella creazione del negozio online, risparmiare 10-30 euro all'anno per un certificato SSL? (a tanto ammonta il costo dei certificati, perlomeno quelli più economici, che comunque son meglio di niente)

2) posto che uno dei punti chiave di uno shop online è conquistare la fiducia dei propri potenziali clienti, è più rassicurante far loro compilare un questionario su una pagina non sicura oppure sotto https con magari un bel logo che, cliccato, indica l'autenticità del certificato, a quale società è intestato ecc? Che poi questa è la ragione essenziale che determina la differenza di costo tra i vari tipi di certificato

Io dunque la metterei in questi termini: la risposta a queste due domande determina se vogliamo che il nostro sito abbia un certificato SSL e di quale tipo.

Conoscete pixmania? www.pixmania.it ... eppure il sito non è ssl ne tanto meno l'area clienti sta in SSL .... però vende...è come se vende....pur non avendo i dati criptati con SSL...

[Aerendir]

Alla faccia! Ho sollevato un polverone!!!
Facciamo così, anche se siamo OT io provo a rispindervi (studio Giurisprudenza e qualche indicazione ve la posso dare); voi, però mi finite di spiegare come funziona sto benedetto SSL

Ora non ricordo le risposte precise di tutti quanti però vi spiego come funziona.

Per prima cosa mi preme dirvi che non basta leggere solo un articolo per capire qual è la discplina da applicare. Questo vuol dire che il solo art. 24 non basta. Ma andiamo con ordine.

Nel codice ci sono molti articoli che possono essere applicati al commercio elettronico e che contribuiscono a delinearne parte della disciplina.

Per prima cosa distinguiamo tra dati personali e dati sensibili.
Per dato personale si intende anche l'identificativo che permette di risalire all'identità della persona. Lo stabilisce l'art. 4 lettera b) quando dispone

• b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

Per capirci quello che nel DB è memorizzato nel campo ID. Quindi questo

Anzi è pure aggirabile usando dei codici identificativi che non associano tale persona a tale scheda.

non è vero. Anche l'id di collegamento tra scheda e cliente è un dato personale proprio perchè permette di risalire all'identità della persona.

I dati personali DEVONO ESSERE PROTETTI!
All'art. 11, rubricato "modalità del trattamento e requisiti dei dati", il comma primo dispone che

Art. 11
Modalità del trattamento e requisiti dei dati

1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;

"Secondo correttezza" è una clausola generale. E secondo correttezza io devo conservare i dati personali in una forma che ne impedisca il furto o comunque l'uso illeggittimo e la diretta conseguenza è che anche la trasmissione deve avvenire con modalità tali da evitare il verificarsi di queste situazioni.

Già solo questo basterebbe a configurare l'obbligo, in capo ai commercianti titolari di ecommerce, di utilizzo del SSL o di altra tecnologia idonea a garantire la sicurezza dei dati trattati.

Ma c'è di più. L'articolo 34 dispone, infatti, che

Art. 34
Trattamenti con strumenti elettronici

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
...
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
...
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;

Le lettere a) e b) impone l'uso di autenticazione e di procedure di autenticazione Ma qui si potrebbe dibattere sul se questa dizione ricomprenda solo l'uso di coppie di username/password o se ricomprenda anche l'uso di cifratura. Spetta alla dottrina chiarire il concetto e alla giurisprudenza "farlo diventare legge". La cifratura è comunque richiamata nella lettera e) allorquando si parla di "protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici". Tutto questo lo si ottiene proprio con la cifratura. Quindi c'è l'obbligo di utilizzarla.
La cifratura è però espressamente prevista per alcuni dati sensibili. Si richiama, comunque, l'allegato B (che io onestamente non ho letto).

All'art. 13 si parla di informativa.
In questa il predisponente deve specificare se la comunicazione dei dati è obbligatori o meno, a chi verranno comunicati i dati e per quali finalità, ecc.

Quindi nei social network se si leggono le privacy policy si dovrebbe trovare proprio questa informativa e lo stesso vale per gli altri siti ai quali comunichiamo dati.
Se nella policy c'è scritto che altri utenti potranno prendere visione dei dati e io accetto non è un problema di codice ma di attenzione delle persone: se accetto nessun codice potrà mai fare niente.

Art. 24

Art. 24
Casi nei quali può essere effettuato il trattamento senza consenso

1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;

La parte importante ai fini della fatturazione non è tanto la lettera a) quanto la lettera b): "Eseguire obblighi derivanti da contratto".
Il clinete non potrà mai richiedere la cancellazione dei dati in questo caso poichè essi servono ai fini dell'adempimento fiscale. Al massimo potrà chiedere la cancellazione dell'account ma la fattura dovrà comunque continuare a riportare i dati personali identificativi del cliente. Quindi la fattura non si strappa

Alla luce di quanto vi ho sommariamente scritto la regola generale è che la cifratura va utilizzata ogni volta che è necessario il trattamento di dati anche solo personali perchè anche se non espressamente richiamata dalle norme ci sono clausole generali e principi normativi che vi fanno riferimento.
Ovviamente questo vale sia nel frontend, che nel backend.

Il problema fondamentale, comunque, non è tanto se esite una normativa o non esiste ma se viene fatta rispettare o non viene fatta rispettare.

Esiste il Garante per la Privacy che dovrebbe occuparsi di questo. Se ritenete di essere stati lesi nel vostro diritto alla privacy o andate da un avvocato, o lo segnalate al garante stesso. Comunque è una cosa lunga e credo nemmeno semplice e forse porta anche spese. Avete capito perchè nessuno rispetta la normativa?

Detto questo, torniamo al SSL?

[vhosting]

che casino LOL

Ritornando al tuo SSL è semplicissimo, acquisti un certificato SSL dove ti pare, nell'hosting dove vai devi avere un ip dedicato, dopo di che da plesk (o altro pannello di controllo ove possibile) ti instali il certificato e stop!

[Uno]

Alla faccia! Ho sollevato un polverone!!!
Facciamo così, anche se siamo OT io provo a rispindervi (studio Giurisprudenza e qualche indicazione ve la posso dare)

[.......]
Esiste il Garante per la Privacy che dovrebbe occuparsi di questo. Se ritenete di essere stati lesi nel vostro diritto alla privacy o andate da un avvocato, o lo segnalate al garante stesso. Comunque è una cosa lunga e credo nemmeno semplice e forse porta anche spese. Avete capito perchè nessuno rispetta la normativa?

Detto questo, torniamo al SSL?

Perdonami, ma la giurisprudenza non hai ancora finito di studiarla e sull'informatica da quello che dici sembra proprio che barcolli.
Il fatto che io rimanga perplesso su come è strutturata la normativa non significa che non la conosca, purtroppo a suo tempo ho dovuto studiarla con l'ausilio di un professionista (ciò che diventerai se finirai)

Vediamo se riesco a farti capire il discorso del codice identificativo.
Se io ho su server le cartelle cliniche di tutti i pazienti, ma su ogni cartella c'è solo un numero, se su quello stesso server non ci sono i nomi delle persone ma quei nomi (con relativo numero) sono in uno schedario (per esempio cartaceo) quel database informatico non necessita di essere criptato. Lo si può fare sia chiaro, ma non è necessario.

Il comma h dell'articolo 34 che tu hai allegato e che conoscevo
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;

ti dice chiaramente quali sono i casi in cui è necessari la cifratura (o i codici che ho tentato di spiegarti)

Te la dico in maniera terra terra, per dati personali comuni (o sanitari senza nominativo e modo di riconoscere la persona) su supporto informatico quando hai una pasword da 8 cifre sei legalmente a posto.

Poi nessuno vieta di cifrare il database o usare ssl (che non è la stessa cosa, ma lo sai vero?), ma dal punto di vista legale è necessario solo in caso dei dati del comma sopra citato (cifrare il db, non l'ssl)

[Aerendir]

Vediamo se riesco a farti capire il discorso del codice identificativo.
Se io ho su server le cartelle cliniche di tutti i pazienti, ma su ogni cartella c'è solo un numero, se su quello stesso server non ci sono i nomi delle persone ma quei nomi (con relativo numero) sono in uno schedario (per esempio cartaceo) quel database informatico non necessita di essere criptato. Lo si può fare sia chiaro, ma non è necessario.

In questo caso, ma in questo caso particolare (non nell'ecommerce di cui stiamo parlando) hai ragione, la sicurezza e l'anonimità del dato è assicurata e quindi non c'è bisogno di criptare nulla (ma io lo farei comunque perchè i dati del paziente possono comunque portare ad identificarlo).

Il comma h dell'articolo 34 che tu hai allegato e che conoscevo
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;

ti dice chiaramente quali sono i casi in cui è necessari la cifratura (o i codici che ho tentato di spiegarti)

Qua te lo dice chiaramente ma solo per dati sanitari o che riguardino la vita sessuale ecc. ecc..
Ti ho esposto, invece, ancora più chiaramente e analiticamente, il resto delle norme dello stesso codice che ti impongono sia di cifrare il db, sia di comunicare i dati in maniera cifrata (con SSL) negli altri casi che non possono essere ricondotti al trattamento di dati sanitari.

Poi nessuno vieta di cifrare il database o usare ssl (che non è la stessa cosa, ma lo sai vero?), ma dal punto di vista legale è necessario solo in caso dei dati del comma sopra citato (cifrare il db, non l'ssl)

Ah aha, si, lo so che non è la stessa cosa
E so anche che nessuno lo vieta, lo impongono proprio!
E' questo il punto: il fatto che non sia scritto chiaro e tondo non vuol dire che l'obbligo non ci sia! Ci si arriva per via interpretativa.
Sia chiaro, non è mia intenzione essere polemico, arrogante o presuntuoso ma ti ripeto che è così, ci sono CLAUSOLE GENERALI (http://it.wikipedia.org/wiki/Clausola_generale e si fa proprio riferimento alla "correttezza") e PRINCIPI GIURIDICI che possono essere evinti dalla lettura dell'intero codice della privacy (ed è così che i codici si leggono, non si legge il singolo articolo, MAI!), è l'interpretazione cosiddetta sistematica (Interpretazione giuridica - Wikipedia).
Il mio non era un attacco a te direttamente ma solo un voler mettermi a disposizione della community che a quanto pare a riguardo fa un bel po' di confusione e trova difficoltà.

Non so se l'hai studiato, con chi o come e nemmeno mi interessa. Il consiglio che ti posso dare è che se veramente pensi che sia così perchè te l'hanno detto fose l'avvocato da cui sei andato non si è spiegato molto bene o non ha capito bene quale fosse il tuo problema.

Poi rimane che è sempre una questione di interpretazione e soprattutto che le regole sono talmente tante e prevedono così tante sfaccettature e varianti che cambiano da caso a caso: basta nulla per modificare interamente la disciplina da applicare. Se ti fidi di quanto ti dico sono contento, se non ti fidi non posso farci niente oltre che dispiacermene, volevo solo essere utile.

Tornando al mio benedetto SSL esiste una risorsa in rete che mi spieghi quali sono i tipi di certificati (ora ho scoperto che esitono anche quelli Extended Validation per i quali l'authority pima di emetterli effettua controlli sull'identità di qualcuno ma non ho capito se del server o se del proprietario del server), a che servono, ecc. ? NOn mi interessa la prate tecnica (tipo il funzionamento dei protocolli di cifratura e trasmissione dei dati) ma mi interessa capire cme funzionano a grandi linee e quali sono i vantaggi o gli svantaggi derivanti dall'usarne uno piuttosto che un altro.