Jump to content
Sign in to follow this  
Aerendir

Server, SSL e ecommerce: ma che casino!

Recommended Posts

Ciao a tutti, vorrei parlare di SSL e certificati e di quanto questi siano veramente importanti per un ecommerce.

 

Comincio a dirvi subito cosa ho capito leggendo un po' di materiale in rete.

 

1) Assunti

1.1) Funzionamento: per poter far funzionare un certificato SSL è necessario che questo sia "scaricato/nstallato" nel browser dell'utente

1.2) Per avere un certificato ci si rivolge ad una certification authority

1.3) La sicurezza del certificato è indipendente dalla certification authority poichè ciò che influisce è il tipo di crittografia utilizzato ed il suo livello di cifratura (es 128 bit)

1.4) Per utilizzare un certificato SSL si deve avere un IP dedicato, altrimenti si condivide il certificato con tutti i siti con i quali condividiamo l'IP cui il certificato si riferisce

 

Queste affermazioni sono vere? C'è bisogno di qualche correzione?

 

Continuo...

 

2) Il prezzo di un certificato varia essenzialmente in base a tre fattori:

2.1) La certification authority che ha emesso il certificato

2.2) Il tipo di cifratura utilizzato

2.3) Se il certificato è di tipo Wildcard (cioè valido per dominio di 3° livello come *.dominio.tld)

 

Rispetto alla 2.1: più la certification authority è diffusa, più probabilità ci sono che il browser dell'utente sia "compatible" e che quindi abbia installato il certificato. Questo diminuisce le probabilità che l'utente riceva un messaggio che potrebbe apparire allarmante. Più la certification authority è diffusa maggiore sarà il prezzo

 

Rispetto alla 2.2: serve almeno un livello pari a 128bit

 

Rispetto alla 2.3: con i certificati wildcard si ha di fatto un unico certificato condiviso da tutti siti che fanno riferimento al dominio principale.

 

Queste considerazioni sono vere? C'è qualche imprecisione? Potreste aggiungere qualcosa?

 

Di fatto il certificato SSL mi serve per garantire la sicurezza delle transazioni con carta di credito. Se mi appoggio ad un gateway esterno (tipo PayPal o GestPay) non ho più bisogno di un certificato SSL perchè di tutto sto casino si occupa il gestore del gateway o mi sbaglio?

 

Spero di essere stato chiaro ma soprattutto spero che qualcuno possa chirirmi gli eventuali errori o imprecisioni perchè a ben vedere è molto più complicato che scegliere il piano di hosting (argomento anch'esso di per se non proprio chiarissimo a chi ci si avvicina per la prima volta!).

 

Grazie mille a tutti, ciao!

Share this post


Link to post
Share on other sites

Ciao,

 

rispondo per punti. :approved:

 

1.1) Funzionamento: per poter far funzionare un certificato SSL è necessario che questo sia "scaricato/nstallato" nel browser dell'utente

Si. Viene comunque fatto automaticamente all'apertura del sito.

1.2) Per avere un certificato ci si rivolge ad una certification authority

Si

1.3) La sicurezza del certificato è indipendente dalla certification authority poichè ciò che influisce è il tipo di crittografia utilizzato ed il suo livello di cifratura (es 128 bit)

No. E' la CA che garantisce la validità e determinati standard di sicurezza del certificato SSL.

Posso anche emettere un certificato self-signed a 2048 bit, ma essendo appunto rilasciato da me, che non sono una CA, non vi sono garanzie sulla sicurezza.

1.4) Per utilizzare un certificato SSL si deve avere un IP dedicato, altrimenti si condivide il certificato con tutti i siti con i quali condividiamo l'IP cui il certificato si riferisce

Si.

 

Queste affermazioni sono vere? C'è bisogno di qualche correzione?

 

Continuo...

2) Il prezzo di un certificato varia essenzialmente in base a tre fattori:

2.1) La certification authority che ha emesso il certificato

2.2) Il tipo di cifratura utilizzato

2.3) Se il certificato è di tipo Wildcard (cioè valido per dominio di 3° livello come *.dominio.tld)

In linea di massima si, sono questi gli elementi che fanno variare il costo di un certificato SSL.

Rispetto alla 2.1: più la certification authority è diffusa, più probabilità ci sono che il browser dell'utente sia "compatible" e che quindi abbia installato il certificato. Questo diminuisce le probabilità che l'utente riceva un messaggio che potrebbe apparire allarmante. Più la certification authority è diffusa maggiore sarà il prezzo

Il discorso della compatibilità non sussiste. Tutti i browser sono in grado di aprire un sito via SSL. E' importante, per evitare warning, che il certificato sia installato (lato server) correttamente.

Non è corretto, ad esempio, avere un certificato SSL rilasciato per pippo.pluto.it ed utilizzarlo per pluto.it. I browser effettuano una serie di controlli, anche formali, sui certificati SSL prima di considerarli attendibili.

 

Rispetto alla 2.2: serve almeno un livello pari a 128bit

Si, è il minimo.

 

Rispetto alla 2.3: con i certificati wildcard si ha di fatto un unico certificato condiviso da tutti siti che fanno riferimento al dominio principale.

Si, hai un unico certificato SSL per dominio e tutti i sottodomini ad esso associati.

 

Queste considerazioni sono vere? C'è qualche imprecisione? Potreste aggiungere qualcosa?

 

Di fatto il certificato SSL mi serve per garantire la sicurezza delle transazioni con carta di credito. Se mi appoggio ad un gateway esterno (tipo PayPal o GestPay) non ho più bisogno di un certificato SSL perchè di tutto sto casino si occupa il gestore del gateway o mi sbaglio?

Se usi un ente esterno per la parte di billing, si da per scontato che già disponga di queste misure di sicurezza.

Comunque è sempre buona regola se sul sito si ha un'area clienti con l'anagrafica e gli ordini, utilizzare un certificato SSL anche in questa fase, quindi non solo per i pagamenti.

 

Spero di essere stato chiaro ma soprattutto spero che qualcuno possa chirirmi gli eventuali errori o imprecisioni perchè a ben vedere è molto più complicato che scegliere il piano di hosting (argomento anch'esso di per se non proprio chiarissimo a chi ci si avvicina per la prima volta!).

 

Grazie mille a tutti, ciao!

Share this post


Link to post
Share on other sites
Comunque è sempre buona regola se sul sito si ha un'area clienti con l'anagrafica e gli ordini, utilizzare un certificato SSL anche in questa fase, quindi non solo per i pagamenti.

 

Cmq questo non è un fattore obbligatorio. L'importante è solamente che le transazioni avvengono in modo sicuro (quindi con SSL). Questo fattore per fortuna viene garantito dai vari gateway esempio paypal, iwsmile (lo consiglio caldamente), banca sella, triveneto ecc ecc ... tutti i loro gateway sono cifrati tramite SSL.

Ciao

Share this post


Link to post
Share on other sites

La cifratura è obbligatoria solo per questioni sanitarie o identificazioni sessuali.

Anzi è pure aggirabile usando dei codici identificativi che non associano tale persona a tale scheda.

 

Per assurdo dal punto di vista legale un certificato ssl non è obbligatorio per gestire le carte di credito (lo è se non si vogliono perdere clienti :D) ma lo è per un sito di incontri in cui uno dichiara le sue preferenze sessuali... anche se poi rendendo il tutto pubblico (e gli utenti lo sanno) si aggira anche li la faccenda.

 

 

Debbo dire che a me questa legge sulla privacy (scusate l'O.T.) mi ha sempre lasciato perplesso. Io compilo e faccio firmare il modulo solo per poter poi emettere parcella. Ma se la persona si rifiuta di firmare che faccio? Non faccio fattura?

Se la persona dopo 3 mesi come dice la legge pretende di essere cancellata dal mio elenco clienti che faccio, straccio la fattura?

 

No perchè l'art24 specifica i

Casi nei quali può essere effettuato il trattamento senza consenso

e più precisamente ai commi

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;

 

Ma allora? Ci prendiamo in giro?

 

Inoltre cifratura obbligatoria per le questioni sanitarie e poi la stessa parcella (che non può essere cifrata) gira minimo per l'ufficio di un commercialista, ma se il cliente la scarica deve girare anche per l'ufficio di un'altro commercialista (se non è per coincidenza lo stesso)

 

Tra parentesi non ho mai capito e nessuno mi ha saputo dire chi è controlla le procedure, non so se parte qualcuno direttamente dall'ufficio del garante...

So per certo che alla GdF e ai funzionari dell'ufficio imposte non interessa, perchè quando ho chiesto informazioni non mi hanno detto, ne saputo dire nulla.

 

Fine O.T.

Share this post


Link to post
Share on other sites

Certo che siamo OT rispetto alla discussione originale, magari si potrebbe tagliare il thread o aprirne uno nuovo.

 

Personalmente seguo la logica che tutto ciò che si può criptare va criptato, ma a parte questo è chiaro che alla fine dipende dai dati che passano sulla rete decidere cosa proteggere e cosa no.

 

Prendendo per certo di passare da un gateway esterno per la transazione, probabilmente se acquisto online un elettrodomestico o qualsiasi cosa fisicamente inscatolata e spedita, metterò come soli dati i miei recapiti, e a quel punto poco importa se non sono protetti da crittografia.

 

Guardando il problema da un punto di vista di servizi forniti online, c'è da vedere che vantaggi potrebbe avere un malintenzionato ad intercettare i dati scambiati con un determinato sito, potrebbe ad esempio ad intercettare dati di accesso a servizi critici di un cliente che passano in chiaro, ad esempio se qualcuno intercettasse i dati di un account rivenditore sarebbero a rischio tutti i clienti di questo.

 

Concludo però con una esperienza personale, almeno per quello che vedo direttamente i dati che potrebbero essere fatti passare protetti da crittografia vengono sistematicamente fatti passare in chiaro, es. dando la possibilità di decidere di disattivare l'invio delle copie dei ticket via e-mail quasi nessuno lo fa e tutto passa quotidianamente via mail.

Share this post


Link to post
Share on other sites

Indipendentemente dall'obbligatorietà o meno, se io vendessi prodotti tramite un E-store farei questa breve considerazione:

 

1) vale la pena, dopo aver investito presumibilmente molti soldi nella creazione del negozio online, risparmiare 10-30 euro all'anno per un certificato SSL? (a tanto ammonta il costo dei certificati, perlomeno quelli più economici, che comunque son meglio di niente)

 

2) posto che uno dei punti chiave di uno shop online è conquistare la fiducia dei propri potenziali clienti, è più rassicurante far loro compilare un questionario su una pagina non sicura oppure sotto https con magari un bel logo che, cliccato, indica l'autenticità del certificato, a quale società è intestato ecc? Che poi questa è la ragione essenziale che determina la differenza di costo tra i vari tipi di certificato

 

Io dunque la metterei in questi termini: la risposta a queste due domande determina se vogliamo che il nostro sito abbia un certificato SSL e di quale tipo.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×