Certificati digitali, IP dedicati e pseudo-illusioni degli hosting provider: il certificato digitale che si vede ma non c'è

Purtroppo i consumatori sono spesso disattenti. Purtroppo un imprenditore è prima di tutto un consumatore. Su questa disattenzione gli altri imprenditori giocano le proprie carte.

Così quando acquisti un hosting e trovi nell'offerta una connessione SSL nella tua testa pensi che il tuo sito sarà sicuro.

Non è così, non proprio almeno, e ti spiego perchè. Continua a leggere!

Un certificato digitale ha bisogno di un indirizzo IP dedicato

Quando ti ho spiegato come funziona un certificato digitale ti ho detto che quando un Client si collega al Server questo gli manda una serie di informazioni tra le quali il proprio common name che contiene il nome a dominio per il quale il certificato è valido.

La chiave di tutto il discorso, quindi, sembra essere il nome a dominio. Ma c'è di più.

Le cose nella realtà sono parzialmente diverse. Un certificato digitale, infatti, non è associato esclusivamente al dominio ma anche al corrispondente indirizzo IP. Quando nel browser digiti www.domain.com questo viene convertito, attraverso l'uso di database creati appositamente per questo (detti DNS - Domain Name System) nel corripondente indirizzo IP del server cui il dominio fa riferimento. Nel caso di server condivisi più domini avranno lo stesso indirizzo IP. Diventa, quindi, tecnicamente impossibile creare un certificato digitale per un dominio ospitato su un server condiviso dal momento che in questi casi viene meno l'univocità dominio-indirizzo IP.

Perchè si possa usare un certificato digitale, quindi, è assolutamente necessario possedere un proprio indirizzo IP. La diretta conseguenza di ciò è che un certificato digitale richiede che il sito sia ospitato su un server dedicato o su un virtual hosting. Il server dedicato sicuramente permette di avere un indirizzo IP dedicato; il virtual hosting spesso lo prevede.

Parlando dei costi di un certificato digitale ti ho detto che la somma totale da investire non è legata solo ed esclusivamente al costo diretto del certificato ma va calcolata tenendo presenti i costi sommersi. I costi sommersi dell'acquisto di un certificato digitale sono costituiti proprio dal server dedicato e dall'indirizzo IP dedicato.

Ma a questo punto una domanda mi viene: se già di per sè un certificato digitale costa e se a questo devo aggiungere il costo di un server dedicato con annesso indirizzo IP com'è possibile che nei piani di hosting mi viene offerta una connessione SSL, per giunta inclusa nei 70/80 Euro di canone annuo?

Le magie degli hosting provider: l'illusione del certificato digitale

Rigore terminologico. Con queste parole il mio professore spiegò che le parole hanno una propria importanza. Ogni parola ha un proprio significato, ogni parola ha un proprio peso, ogni parola ha una funzione nel linguaggio.

Rifaccio la domanda: com'è possibile offrire una connessione SSL con un piano di hosting da 70/80 Euro?

Delle due l'una: o io ho detto una montagna di stupidaggini fino ad ora oppure c'è un trucco, un illusione.

Precisazione: non intendo giudicare la bontà di una simile scelta fatta da un generico hosting provider. Non intendo indagare circa la sua buona o cattiva fede. Ritengo che una persona accorta debba informarsi prima di fare un acquisto e debba anche prestare attenzione a ciò che acquista. La definirei diligenza del buon acquirente.

Hai letto il primo articolo di questa serie? Lì ho spigato cosa sono i certificati digitali e nelle prime righe ho scritto

La stragrande maggioranza delle persone confonde ed usa come sinonimi "SSL" e "certificato digitale". In realtà SSL è l'acronimo di Secure Soket Layer ed è un protocollo crittografico (che tra le altre cose ora si chiama TLS - Transport Layer Security). Il certificato digitale, invece, è uno strumento che sfrutta, tra gli altri, il protocollo SSL/TLS. Insieme offrono una serie di garanzie a chi accede al sito che li utilizza e contribuiscono a rendere sicura la comunicazione tra computer client (quello degli utenti che accedono al tuo sito) e computer server (quello dove è ospitato il tuo sito).

Ecco svelato il trucco! Bastava un po' di rigore terminologico ed un pizzico di diligenza del buon acquirente.

Nei piani di hosting non si parla di certificato digitale. Nei piani di hosting si parla di connessione SSL.

L'illusione funziona perchè

1. la stragrande maggioranza delle persone tende a confondere le due cose anche se in realtà SSL è solo una delle tecnologie, la più famosa, utilizzata dai certificati. Oltre al protocollo SSL, infatti, vengono utilizzati una serie di altri protocolli che servono per la generazione della coppia di chiavi asimmetriche, per stabilire la comunicazione tra server e client e via dicendo;

2. Non si può parlare di certificato perchè esso viene emesso da una certification authority che è diversa dall'hosting provider. In più ci sono i problemi tecnici che ti ho spiegato in apertura di post che rendono impossibile emettere un certificato digitale per un dominio ospitato su un server condiviso.

Ma si sa, l'aspirazione ai soldi aguzza l'ingegno, ed ecco che gli hosting provider hanno escogitato un sistema semplice semplice per offrirti comunque una connessione SSL (ribadisco, non un certificato digitale!).

Parlando dei tipi di certificato ti ho detto che un certificato digitale di tipo wildcard può essere usato non solo sul dominio principale di secondo livello (www.domain.com) ma anche sui domini di terzo livello (subdomain.domain.com).

Tutto qui.

Se leggi con attenzione l'offerta da qualche parte sarà scritto che per utilizzare il certificato SSL dovrai utilizzare l'indirizzo https://tuo_nome.server_sicuro_dell_hoster.tld.

Il meccanismo, quindi, è semplice e si basa sull'uso dei certificati digitali wildcard.

Quando acquisti il tuo nome a dominio (www.tuodominio.tld) presso l'hoster questo ti crea anche un dominio di terzo livello del tipo tuodominio.serversicuro.tld.

L'hoster non ha fatto altro che acquistare un certificato digitale di tipo wildcard per il dominio www.serversicuro.tld. Personalmente mi assicurerei anche che sia un certificato digitale emesso da una certification authority solida.

Questa soluzione, però, porta con sè due principali problemi:

1. Il certificato non è emesso a tuo nome ma a nome dell'hoster. Viene meno, quindi, la garanzia della certificazione della tua identità. Potresti essere un commerciante serio come potresti essere un criminale. Poiché un certificato serve soprattutto per certificare l'identità di chi ne è titolare (la cifratura dei dati è solo una conseguenza e non il motivo!) capisci che avere una connessione SSL del genere è parzialmente inutile anche perchè non potrai esporre nessun bollino di garanzia;

2. Forse non potrai comunque usare la connessione SSL perchè il tuo sito potrebbe non essere in grado di ospitare alcune pagine sul dominio tuodominio.com ed altre sul dominio tuodominio.serversicuro.com.

Conclusioni

Perchè possa funzionare un certificato digitale ha bisogno che il sito abbia un indirizzo IP dedicato.

Per calcolare il costo di un certificato digitale devi, quindi, tenere conto anche del costo di un server dedicato con annesso indirizzo IP.

Se decidi di acquistare comunque uno spazio su un hosting condiviso non lasciarti influenzare dalla presenza di una connessione SSL: questa non è un certificato digitale e quindi non ne offre i vantaggi in termini di sicurezza per l'utente e conseguente fiducia di questi nei tuoi confronti e nel tuo sito.

Se nell'offerta si parla esplicitamente di certificato digitale verifica

1. che non sia una semplice connessione cifrata con SSL;
2. che il certificato abbia i necessari requisiti;
3. che sia emesso da una Certification Authority idonea.