Cos'è Autorità di Certificazione?
Un'autorità di certificazione (CA) è un'organizzazione terza fidata che emette, firma e gestisce certificati digitali usati per verificare l'identità di entità — come siti web, organizzazioni o dispositivi — all'interno di un'infrastruttura a chiave pubblica.
Noto anche come: CA, trusted certificate authority
Le autorità di certificazione sono le ancore di fiducia del sistema di identità di Internet. Quando una CA emette un certificato per un dominio, attesta che il titolare del certificato ha dimostrato il controllo su quel dominio. Browser e sistemi operativi vengono forniti con un insieme preinstallato di certificati CA radice attendibili. Quando il tuo browser incontra il certificato di un server, risale la catena di firme fino a una di queste radici attendibili per decidere se fidarsi della connessione.
Il processo di emissione dei certificati varia in base al livello di validazione. I certificati Domain Validation (DV) richiedono solo la prova del controllo del dominio (tipicamente tramite challenge DNS o HTTP) e possono essere emessi in pochi minuti. I certificati Organization Validation (OV) e Extended Validation (EV) richiedono la verifica dell'identità legale dell'organizzazione richiedente. Let's Encrypt ha reso popolari i certificati DV gratuiti e automatizzati, aumentando drasticamente l'adozione di HTTPS sul web.
La compromissione di una CA è una delle minacce più gravi alla sicurezza di Internet. Se un attaccante ottiene il controllo della chiave di firma di una CA, può emettere certificati fraudolenti per qualsiasi dominio, abilitando attacchi man-in-the-middle non rilevabili. È già accaduto — la compromissione di DigiNotar nel 2011 ha portato alla sua completa perdita di fiducia e alla sua dissoluzione. I Certificate Transparency (CT) log — un registro pubblico append-only di tutti i certificati emessi — sono stati introdotti per rilevare rapidamente tali emissioni fraudolente.
Come Vaulted usa Autorità di Certificazione
Il certificato HTTPS di Vaulted è emesso da un'autorità di certificazione attendibile, consentendo ai browser di verificare di connettersi al vero server Vaulted. Questo impedisce agli attaccanti man-in-the-middle di impersonare Vaulted per intercettare segreti cifrati o servire JavaScript malevolo. Sebbene la connessione TLS supportata dalla CA protegga il livello di trasporto, il modello di sicurezza di Vaulted non si affida esclusivamente a essa — la cifratura lato client garantisce che anche un canale TLS compromesso esporrebbe solo testo cifrato, non segreti in chiaro.