Il certificato digitale è un componente fondamentale di una infrastruttura a chiave pubblica, esso è un documento elettronico che associa in maniera univoca l’identità di un soggetto alla chiave pubblica ad esso associata.

Processo di certificazioneUn certificato potrà essere quindi associato ad una persona fisica, ad una persona giuridica, oppure ad un servizio web come un portale.

Il certificato è emesso da un ente riconosciuto come “fidato” (autorità di certificazione o CA) dalle parti in causa, è utilizzato per le operazioni di crittografia a chiave pubblica.

Le Autorità di Certificazione emettono un certificato a seguito di una richiesta solo dopo aver attestato l’identità del richiedente. L’operazione di verifica telematica dei certificati può essere effettuata da chiunque in quanto le C.A. mantengono un registro pubblico dei certificati digitali emessi e una dei certificati digitale revocati (Certification Revocation List o CRL).

Ad ogni certificato digitale è associato un intervallo temporale di validità di conseguenza ogni certificato può essere revocato se scaduto.

Altre condizioni che determinano la revoca di un certificato sono la compromissione della chiave privata ed ogni cambiamento nella relazione soggetto-chiave pubblica, ad esempio dovuto al cambiamento della mail del richiedente.

In un processo di crittografia asimmetrica a ciascun soggetto è associata una coppia di chiavi, una pubblica ed una privata. Ogni soggetto può firmare un documento con la chiave privata, a questo uno ogni soggetto interessato a verificare l’autenticità del documento potrà verificare il documento utilizzando la chiave pubblica del soggetto firmante esposta dalla CA.

Altro uso interessante legato alla disponibilità della chiave pubblica di un soggetto è l’invio di documenti cifrati. Ipotizzando di voler inviare un documento cifrato a Pierluigi è sufficiente che lo firmi con la sua chiave pubblica esposta dalla CA. A questo punto solo Pierluigi con la sua chiave privata associata alla chiave pubblica esposta potrà decifrare il documento.

La chiave pubblica di ciascun soggetto è contenuta in un certificato digitale firmato da una terza parte fidata, in questo modo coloro che riconoscono la terza parte come fidata devono controllarne la firma per accettare come valida la chiave pubblica da esso pubblicata.

Quale è lo standard principale per i certificati digitali?

Lo standard più popolare per i certificati digitali è ITU-T X.509, secondo il quale una CA emette un certificato digitale che associa la chiave pubblica del soggetto ad un Nome Distintivo (Distinguished Name), oppure ad un Nome Alternativo (Alternative Name) come potrebbe essere un indirizzo e-mail o un record DNS.

La struttura di un certificato digitale X.509 include le seguenti informazioni: Certificato

  • Versione
  • Numero seriale
  • ID dell’algoritmo
  • Ente emettitore
  • Validità
  • Soggetto
  • Informazioni sulla chiave pubblica del soggetto
  • Algoritmo di firma del certificato
  • Firma del certificato

Sebbene difficilmente sentirete parlare di standard X.509, molto probabilmente vi imbatterete nelle estensione utilizzate per i file contenenti certificati X.509, le più comuni sono:

  • .CER – certificato codificato con DER, a volte sequenze di certificati;
  • .DER – certificato codificato con DER;
  • .PEM – certificato codificato con Base64, un file .PEM può contenere certificati o chiavi private .
  • .P12 – PKCS#12, può contenere certificati e chiavi pubbliche e private (protette da password);

Sottoscrizione o autenticazione?

Per coloro che si troveranno a dover gestire a vario titolo certificati digitali è opportuno conoscere la differenza tra un certificato di autenticazione ed uno di sottoscrizione.

  • Un Certificato digitale di Sottoscrizione è utilizzato per definire la corrispondenza tra il soggetto richiedente il certificato e la sua chiave pubblica. Questi certificati sono quelli utilizzati per l’apposizione di firme digitali a valenza legale.
  • Un Certificato di Autenticazione è principalmente utilizzato per l’accesso ai siti web che implementano l’autenticazione a mezzo certificato, oppure per firmare messaggi di posta elettronica allo scopo di garantire l’identità del mittente. Ad un Certificato digitale di autenticazione è di solito associato un indirizzo di posta elettronica in modo univoco.Certificato digitale

17 COMMENTS