Veri­fica del cer­ti­fi­cato

I cer­ti­fi­cati digi­tali ven­gono uti­liz­zati per cifrare le con­nes­sioni e offrire all’utente la sicu­rezza di essere con­nesso al sito Internet cor­retto. Dato che ven­gono uti­liz­zati anche da siti Internet frau­do­lenti, è impor­tante veri­fi­carne l’autenticità soprat­tutto nell’e-banking.

Pro­teg­ge­tevi così:

  • Nel browser digi­tate sempre manual­mente l’indirizzo dell’istituto finan­ziario.
  • Pre­state la dovuta atten­zione ai mes­saggi d’allarme e d’errore che ven­gono visua­liz­zati mentre si instau­rano le con­nes­sioni, ed even­tual­mente inter­rom­pete l’operazione.
  • Assi­cu­ra­tevi che la barra degli indi­rizzi (URL) sia con­tras­se­gnata da un’icona a forma di luc­chetto.
  • Con­trol­late che il cer­ti­fi­cato sia stato rila­sciato espli­ci­ta­mente a nome dell’istituto finan­ziario (mostrato accanto al luc­chetto o dopo aver fatto clic sul luc­chetto nella riga «Rila­sciato a:»).
  • Veri­fi­cate che l’indirizzo con­tenga il nome di dominio cor­retto dell’istituto finan­ziario.
  • Inse­rite i vostri dati d’accesso per­so­nali solo dopo un esito posi­tivo della veri­fica del cer­ti­fi­cato.

Pro­te­zione e rischi dei cer­ti­fi­cati

Ogni browser veri­fica auto­ma­ti­ca­mente l’autenticità e la vali­dità dei cer­ti­fi­cati SSL durante l’instaurazione della con­nes­sione, e visua­lizza il sito Internet cor­ret­ta­mente e senza mes­saggi di errore solo se la veri­fica si è con­clusa rego­lar­mente.

Tut­tavia, sempre più con­traf­fa­zioni dei siti Internet degli isti­tuti finan­ziari sono dotate di un cer­ti­fi­cato SSL valido a scopo di phi­shing, e per questo il sem­plice con­trollo del cer­ti­fi­cato da parte del browser non è più suf­fi­ciente per avere la cer­tezza che il sito Internet visi­tato sia quello giusto.

Quindi, digi­tate sempre manual­mente l’indirizzo dell’istituto finan­ziario e con­trol­late il cer­ti­fi­cato prima di ogni ses­sione di e-ban­king!

Veri­fica del cer­ti­fi­cato nel browser

In estrema sin­tesi, quando si passa a una con­nes­sione pro­tetta nel browser non devono com­pa­rire mes­saggi di errore, altri­menti ci sono dei pro­blemi con il cer­ti­fi­cato o con la con­nes­sione, che va inter­rotta imme­dia­ta­mente.

Ciò signi­fica che se com­pa­iono mes­saggi d’allarme o d’errore non con­fer­mate mai manual­mente il pro­se­gui­mento della con­nes­sione!

Una con­nes­sione SSL cor­retta – e quindi una con­nes­sione sicura – al sito Internet giusto, basata su un cer­ti­fi­cato auten­tico e valido, si rico­nosce da queste tre chiare indi­ca­zioni del browser:

  1. Icona a forma di luc­chetto nella barra degli indi­rizzi
    La con­nes­sione è stata crip­tata con un cer­ti­fi­cato SSL valido.
  2. Nome dell’istituto finan­ziario giusto (mostrato accanto al luc­chetto o dopo aver fatto clic sul luc­chetto nella riga «Rila­sciato a:»)
    L’identità del tito­lare del cer­ti­fi­cato (banca) è stata con­fer­mata.
  3. Nome di dominio cor­retto nell’indirizzo
    Vi tro­vate dav­vero sul sito dell’istituto finan­ziario.

Google Chrome:

Micro­soft Edge:

Mozilla Firefox:

Apple Safari:

La rap­pre­sen­ta­zione di queste carat­te­ri­stiche dif­fe­risce leg­ger­mente da un browser all’altro ed è ripor­tata nelle istru­zioni dei browser più comuni.

Veri­fica del cer­ti­fi­cato tra­mite impronta digi­tale

L’autenticità di un cer­ti­fi­cato può essere con­trol­lata manual­mente: la pro­ce­dura è un po’ più ela­bo­rata ma pro­prio per questo motivo più sicura. L’«impronta digi­tale» (fin­ger­print) mostrata dal browser deve coin­ci­dere con quella pub­bli­cata dall’istituto finan­ziario.

Se non è pos­si­bile veri­fi­care le impronte digi­tali, inter­rom­pete imme­dia­ta­mente la con­nes­sione!

Sul sito Internet «eBanking – ma sicuro!» tro­vate le impronte digi­tali delle pagine di login per l’e-banking dei nostri partner e istru­zioni det­ta­gliate per veri­fi­care l’impronta digi­tale in diversi browser.

Nell’e-banking si uti­liz­zano cer­ti­fi­cati digi­tali per garan­tire l’autenticità del server Web con­tat­tato e cifrare la con­nes­sione di comu­ni­ca­zione con il server. A tal fine viene uti­liz­zato il pro­to­collo TLS/SSL. Per questo si parla anche di cer­ti­fi­cati SSL e con­nes­sioni SSL.

Con poche ope­ra­zioni è pos­si­bile veri­fi­care se la con­nes­sione è pro­tetta come indi­cato.

Mag­giori infor­ma­zioni

Fun­zio­na­mento di una con­nes­sione SSL

Quando si sta­bi­lisce una con­nes­sione pro­tetta con un server Web, soli­ta­mente viene uti­liz­zato il pro­to­collo TLS/SSL. Si tratta di una tec­no­logia di tele­co­mu­ni­ca­zione che cifra le infor­ma­zioni da tra­smet­tere in modo che non siano inter­cet­ta­bili e allo stesso tempo garan­tisce l’autenticità del server Web con cui viene sta­bi­lita la con­nes­sione.

Alla base della pro­te­zione imple­men­tata si trova un cosid­detto cer­ti­fi­cato digi­tale rila­sciato per un server Web da un ente affi­da­bile, noto anche come Auto­rità di cer­ti­fi­ca­zione.

Poiché l’impossibilità di inter­cet­ta­zione e l’autenticità del server Web sono garan­tite solo se il cer­ti­fi­cato su cui si basa la con­nes­sione SSL è auten­tico e valido, acqui­sisce un’importanza fon­da­men­tale la veri­fica del cer­ti­fi­cato.

Veri­fica del cer­ti­fi­cato con il sup­porto del browser

Quando instaura una con­nes­sione SSL, un browser veri­fica le pro­prietà del cer­ti­fi­cato seguenti:

  • Affi­da­bi­lità dell’emittente del cer­ti­fi­cato: il cer­ti­fi­cato è stato rila­sciato (ossia for­nito di firma digi­tale valida) da un’Autorità di cer­ti­fi­ca­zione affi­da­bile. Questa veri­fica attesta l’autenticità del cer­ti­fi­cato.
  • Vali­dità del cer­ti­fi­cato: il cer­ti­fi­cato non è sca­duto e non è stato dichia­rato nullo (revo­cato) dall’Autorità di cer­ti­fi­ca­zione prima della sca­denza del periodo di vali­dità.
  • Indi­rizzo del server Web: l’indirizzo del server Web inse­rito nel cer­ti­fi­cato cor­ri­sponde all’indirizzo effet­ti­va­mente uti­liz­zato nella barra degli indi­rizzi del browser.

Solo se queste tre veri­fiche hanno esito posi­tivo il browser non visua­lizza nessun mes­saggio d’errore quando instaura la con­nes­sione SSL.

La veri­fica effet­tuata dal browser delle carat­te­ri­stiche del cer­ti­fi­cato indi­cate offre un livello di sicu­rezza ele­vato, ma non è in grado di rico­no­scere in alcun modo i cer­ti­fi­cati rila­sciati da un’Autorità di cer­ti­fi­ca­zione a un truf­fa­tore in seguito a un’analisi incor­retta di chi lo ha richiesto. Alcune, poche truffe di questo tipo sono già note.

Dato che per il pro­prio cer­ti­fi­cato un truf­fa­tore sce­glie, con enorme pro­ba­bi­lità, un indi­rizzo diverso da quello dell’obiettivo dell’attacco (p. es. un isti­tuto finan­ziario), questi cer­ti­fi­cati emessi in modo inde­bito si pos­sono iden­ti­fi­care con­trol­lando la barra degli indi­rizzi mostrata dal browser.

Oltre a questo l’utente deve veri­fi­care se la cosid­detta parte del dominio dell’indirizzo appar­tiene all’organizzazione con­tat­tata (cioè all’istituto finan­ziario). Per faci­lità, i browser moderni evi­den­ziano questa parte dell’indirizzo anche gra­fi­ca­mente (p. es. in gras­setto oppure in nero anziché in grigio).

Veri­fica del cer­ti­fi­cato tra­mite con­fronto dell’impronta digi­tale

Chiunque uti­lizzi una con­nes­sione SSL può veri­fi­care manual­mente l’autenticità del cer­ti­fi­cato su cui si basa il col­le­ga­mento. A tal fine, deve veri­fi­care l’impronta digi­tale del cer­ti­fi­cato.

L’impronta digi­tale si pre­senta come una sequenza di let­tere dalla A alla F (senza distin­zione tra let­tere maiu­scole e minu­scole) e numeri dallo 0 al 9.

La veri­fica dell’impronta digi­tale viene ese­guita con­fron­tando tale sequenza con una sequenza di rife­ri­mento che l’utente ha rice­vuto dall’istituto finan­ziario. Se la sequenza di carat­teri ripor­tata sul cer­ti­fi­cato e quella dell’istituto finan­ziario coin­ci­dono, si ha la garanzia che il cer­ti­fi­cato sia auten­tico.

Se la sequenza di carat­teri rice­vuta dall’istituto finan­ziario è auten­tica, la veri­fica manuale dell’impronta digi­tale è il modo più sicuro per veri­fi­care il cer­ti­fi­cato.

Non è più neces­sario effet­tuare un con­trollo sup­ple­men­tare della barra degli indi­rizzi, come indi­cato per la veri­fica con il sup­porto del browser.

Cos’altro vorreste sapere sulla sicurezza nell’e-banking?

Iscri­ve­tevi subito a un corso per saperne di più:

Corsi di for­ma­zione di base

Il corso di base pre­senta le minacce attuali poste da Internet e mostra come pro­teg­gersi con alcuni sem­plici prov­ve­di­menti.

mag­giori infor­ma­zioni

Corsi pra­tici

Eser­ci­ta­tevi ai nostri com­puter e sco­prite i prin­ci­pali prov­ve­di­menti per la vostra sicu­rezza infor­ma­tica e nell’e-banking.

mag­giori infor­ma­zioni

Send this to a friend