Il Garante della Privacy ha inflitto una pesante sanzione ad un’azienda fornitrice di servizi idrici a causa della mancanza di meccanismi di protezione SSL/TLS.
Infatti, per il Garante della Privacy l’azienda ha infranto i principi fondamentali del GDPR, in particolar modo è stata riscontrata l’infrazione riguardante la mancata valutazione dei rischi per la sicurezza dei dati personali nella fase di progettazione e realizzazione del sito internet.
Il Garante della Privacy ha quindi applicato una sanzione di 15.000 euro, decisione in linea con quanto comunicato anche in passato dallo stesso Ente. Per il Garante, infatti, ogni interazione di un utente con un sito web per la trasmissione di dati personali deve essere protetta tramite crittografia SSL.
Cosa sono i certificati SSL
SSL è l’acronimo di “Secure Sockets Layer”, un protocollo che consente la trasmissione di informazioni in modo criptato e sicuro. Con un certificato SSL, quindi, è possibile crittografare e proteggere i dati che i siti web scambiano e quindi i dati utenti che gli utenti inseriscono nel sito.
Un certificato SSL digitale autentica l’identità di un sito web e consente di instaurare una connessione crittografata.
Differenza tra SSL e TLS
Dalla sua introduzione, circa 25 anni fa, sono state rilasciate varie versioni del protocollo SSL, ma prima o poi hanno tutte creato problemi di sicurezza. In seguito è stata introdotta una nuova versione, denominata TLS (Transport Layer Security), che viene utilizzata ancora oggi.
Tuttavia il vecchio acronimo, SSL, è ancora in uso e viene utilizzato anche per fare riferimento alla nuova versione del protocollo.
fonte: https://dev.to/techschoolguru/a-complete-overview-of-ssl-tls-and-its-cryptographic-system-36pd
Come funzionano i certificati SSL
I certificati SSL assicurano che tutti i dati scambiati fra gli utenti e i siti web, o fra due sistemi, rimangano impossibili da leggere qualora venissero intercettati durante la comunicazione. Utilizzando algoritmi di crittografia tutto il traffico da e verso il sito web viene reso irriconoscibile per impedire ad eventuali malintenzionati di averne accesso Tali dati possono includere informazioni sensibili, come nomi, indirizzi, password, numeri di carta di credito o altri dati finanziari.
Handshake e connessione protette con con i certificati SSL / TLS
Il processo di protezione dei dati garantito dall’uso del protocollo HTTPS e dai certificati SSL funziona indicativamente nel seguente modo:
- Due dispositivi attraverso la rete internet (ad esempio un sito web ed un server) tentano di collegarsi (ad esempio per scaricare una pagina web o per autenticare una persona con username e password)
- Un dispositivo chiede all’altro, all’atto di instaurare la comunicazione, di identificarsi (quindi di certificare di essere veramente lui il destinatario della comunicazione).
- Il dispositivo risponde inviando una copia del suo certificato SSL.
- L’altro dispositivo verifica la validità del certificato, la sua firma e che sia stato emesso da un ente autorizzato.
- Il dispositivo che ha effettuato la verifica restituisce l’esito della conferma firmata digitalmente, per avviare una sessione SSL crittografata.
- I dati crittografati vengono condivisi fra il browser o il server e il server web.
Di seguito uno schema di come funziona il processo
fonte: https://cheapsslsecurity.com/blog/what-is-ssl-tls-handshake-understand-the-process-in-just-3-minutes/
Tale processo viene talvolta denominato “handshake SSL”. Anche se può sembrare lungo, in realtà richiede solo pochi millisecondi.
Differenza tra SSL e HTTPS
Quando un sito web è protetto da un certificato SSL, il suo URL è preceduto dal prefisso HTTPS (HyperText Transfer Protocol Secure). Se non è disponibile un certificato SSL, viene utilizzato il prefisso HTTP, senza la S di Secure (Sicuro). Accanto all’URL, nella barra degli indirizzi viene visualizzata anche l’icona di un lucchetto, per indicare che il sito è affidabile e rassicurare i visitatori.
La cosa più importante per le aziende è che, per ottenere un indirizzo web HTTPS, occorre un certificato SSL.
HTTPS è la forma sicura di HTTP, poiché il traffico dei siti web HTTPS è crittografato tramite SSL. La maggior parte dei browser classifica i siti HTTP (quelli privi di certificato SSL) come “non sicuri”. Questo indica chiaramente agli utenti che il sito non può essere considerato affidabile e spinge le aziende che non lo hanno ancora fatto a passare ad HTTPS.
Differenza tra HTTP e HTTPS
fonte: https://www.cloudflare.com/it-it/learning/ssl/what-is-ssl/
Verificare un certificato SSL
Per visualizzare i dettagli di un certificato SSL, è possibile cliccare sull’icona del lucchetto nella barra degli indirizzi del browser.
I dettagli del certificato SSL solitamente includono:
- Il nome del dominio a cui è stato rilasciato il certificato
- La persona, l’organizzazione o il dispositivo a cui è stato rilasciato
- L’Autorità di certificazione emittente
- La firma digitale dell’Autorità di certificazione
- I sottodomini associati
- La data di emissione del certificato
- La data di scadenza del certificato
- La chiave pubblica (la chiave privata non è riportata)
Cosa protegge un certificato SSL
Un certificato SSL consente di proteggere informazioni quali:
- Credenziali di accesso
- Transazioni con carta di credito o informazioni sui conti bancari
- Informazioni personali, quali nome completo, indirizzo, data di nascita o numero di telefono
- Documenti legali e contratti
- Cartelle mediche
- Informazioni proprietarie
Un certificato SSL protegge quindi tutte le informazioni che vengono scambiate tra dispositivi connessi attraverso la rete internet.
Come eseguire un controllo sul certificato SSL
Noi consigliamo di utilizzare lo strumento di controllo SSL gratuito di Qualys SSL Labs. È uno strumento molto affidabile e lo usiamo per tutti i clienti di Neting durante nella verifica dei certificati.
Per verificare la validità del certificato SSL e la sicurezza del sito web basta andare alla pagina del tool di controllo SSL, inserire il dominio nel campo Hostname e fare clic su “Submit”.
Perché è importante usare SSL
Affinché un sito sia considerato protetto una delle soluzioni più semplici ed efficaci è costituita proprio dai certificati SSL. I certificati SSL operano grazie ad algoritmi di comunicazione criptata tra il client e il server web.
Quando si rende necessario un certificato SSL
Sicuramente ogni sito con un’area di autenticazione attraverso delle credenziali deve essere dotato di certificato SSL. In questo modo gli utenti possono considerarsi protetti da possibili attività di frode, furto di dati e altre attività criminali.
Come capire se il tuo sito usa un certificato SSL
Capire se il tuo sito, o un qualunque altro sito, è dotato di certificato SSL è piuttosto semplice. La presenza del certificato SSL è accompagnata dal prefisso HTTPS prima dell’indirizzo del sito.
Il browser in uso identifica il certificato e rende chiara l’adozione di meccanismi di cifratura abilitando una specifica “icona lucchetto” nella toolbar.
Come dotarsi di certificato SSL
Dotarsi di certificato SSL non dovrebbe essere un’operazione complicata per la maggior parte degli utenti e possessori di un sito web.
Nella maggior parte dei casi, infatti, il certificato SSL è installabile direttamente dal pannello di controllo del tuo hosting.
Spesso, inoltre, il certificato SSL viene rilasciato in maniera gratuita nel tuo piano hosting.
Che certificato scegliere per non incorrere in sanzioni del Garante della Privacy
È possibile scegliere tra tre tipologie di certificati SSL:
Domain Validated (DV): si tratta di certificati di convalida a livello di dominio, utili quindi a certificare un unico dominio internet. Possono essere utilizzati per quei siti con aree di login, pagine con form o altre situazioni che prevedono l’utilizzo di dati sensibili.
I Domain Validated possono essere richiesti unicamente dal proprietario del dominio.
Organization Validated (OV): si tratta di certificati utili a livello di organizzazione. Questo tipo di soluzione è utile per ecommerce e portali. una soluzione indicata per eCommerce e portali Web.
Gli OV contribuiscono a verificare e certificare la proprietà del sito da parte di un’azienda.
In questo caso possono essere richiesti dal personale autorizzato a rappresentare la società o il marchio.
I certificati Extended Validated (EV) assicurano un alto grado di sicurezza e affidabilità. Sono strutturati per soddisfare le esigenze di grandi aziende. L’identità in questo caso viene verificata tramite email o per via telefonica.
Conclusioni
Il Garante ha tenuto a precisare che l’entità della sanzione è dovuta al numero elevato di utenti coinvolti (13 mila) e dal fatto che l’azienda non si sarebbe mai attivata per l’apertura di un’istruttoria, nonostante avesse avuto due segnalazioni precedenti da parte del reclamante.
Ciononostante, per il Garante, rimane necessario mettere in atto da subito le misure tecniche per la protezione della tutela dei dati personali degli utenti, effettuando ulteriori revisioni periodiche.