search
Il media che reinventa l'impresa
Registrare un software

Quale autorità di certificazione elettronica scegliere?

Quale autorità di certificazione elettronica scegliere?

Da Samantha Mur

Il 29 ottobre 2024

Un' autorità di certificazione è un'entità che emette certificati elettronici per garantire un elevato livello di sicurezza negli scambi elettronici delle organizzazioni.

Con il passaggio delle aziende alla tecnologia digitale e la trasformazione dei processi e delle pratiche, come la dematerializzazione dei documenti, i problemi di gestione ed elaborazione dei dati diventano sempre più frequenti.

Garantire la sicurezza dei dati e il valore legale degli scambi online sta diventando una priorità. Come si fa a verificare che un sito web sia affidabile? Come si può essere certi che una procedura di firma elettronica sia legalmente ammissibile o che un pagamento online sia sicuro?

Scoprite di più sul ruolo e le caratteristiche di un'autorità di certificazione!

Che cos'è un'autorità di certificazione?

Un' autorità di certificazione (CA) è un'entità fidata che emette certificati digitali. È un fornitore di servizi, come un'azienda privata o un'autorità amministrativa, che crea, fornisce e gestisce certificati elettronici per conto degli utenti.

Un'autorità di certificazione ha lo scopo di garantire :

  • l' affidabilità di un sito web
  • l' identità dei titolari dei certificati
  • l' assenza di rischi negli scambi di documenti e dati, come i processi di pagamento online o le firme elettroniche.

Il suo ruolo: emettere certificati elettronici

Una CA emette certificati elettronici, noti anche come certificati a chiave pubblica, per garantire la sicurezza della navigazione e degli scambi di dati informatici.

Che cos'è un certificato in informatica? Un certificato emesso da un'autorità di certificazione :

  • garantisce l' affidabilità dei contenuti dei server web (certificati SSL) ;
  • protegge la riservatezza dei dati durante le transazioni e i trasferimenti di documenti elettronici;
  • autentica qualsiasi persona o entità che desideri connettersi a uno spazio online;
  • attesta l' identità digitale di chi sottoscrive documenti dematerializzati con firma elettronica, garantendone il valore legale.

💡 Infine, il certificato emesso funge da carta d'identità di un documento elettronico o di un sito web: se è fornito da una terza parte fidata, il suo valore legale è indiscutibile.

Elenco delle autorità di certificazione

Il ruolo di autorità di certificazione può essere assunto da :

  • governi
  • istituzioni bancarie
  • professioni regolamentate come notai e avvocati,
  • federazioni di aziende dello stesso settore commerciale,
  • aziende private, ecc.

Le autorità di certificazione definiscono le condizioni di utilizzo e di attribuzione delle identità elettroniche che rilasciano.

Quale autorità di certificazione scegliere?

Criteri per la scelta di un'autorità di certificazione

  • attrezzature e software,
  • reputazione
  • affidabilità
  • prezzo.

Autorità di certificazione e firma elettronica

Come si ottiene un certificato di firma elettronica?

Un'autorità di certificazione consente di ottenere un certificato di firma elettronica, che serve a garantire la validità, l'affidabilità e il livello della firma elettronica.

Il livello di sicurezza può essere scelto dall'utente e corrisponde a diversi livelli di affidabilità e garanzia, come definito dal regolamento eIDAS. Questi processi di certificazione conferiscono anche valore legale alla firma elettronica.

Infine, le CA in Francia assegnano un livello di qualità di certificazione a ciascuna firma elettronica sulla base del Sistema Generale di Riferimento per la Sicurezza (RGS):

  • elementare (RGS*)
  • standard (RGS**)
  • avanzato (RGS***).

Selezione di terze parti fidate

Per ottenere un certificato elettronico, è possibile rivolgersi a un TSP (Trusted Electronic Service Provider), come :

  • CertEurope, che offre certificati di firma elettronica conformi al regolamento eIDAS e al quadro di riferimento RGS e una piattaforma di firma elettronica;
  • Certigna by Tessi, che offre un servizio di firma elettronica a tutti i livelli e in conformità (eIDAS, RGS) per i documenti ufficiali, corredato da verifica dell'identità, marcatura temporale e timbratura qualificata, nonché un sistema di firma elettronica con valore probatorio;
  • ChamberSign, che rilascia certificati elettronici secondo standard molto severi, con un livello di sicurezza approvato dall'ANSSI;
  • Universign, che offre servizi di firma elettronica, sigillo elettronico e marcatura temporale, in qualità di Trusted Service Provider qualificato ai sensi del regolamento europeo eIDAS.

Come funziona un'autorità di certificazione?

Rilascio di un certificato elettronico da parte dell'autorità di certificazione

Un'autorità di certificazione è responsabile di stabilire un collegamento sicuro tra l'utente e il certificato che emette. A tal fine

  1. l'autorità di certificazione implementa meccanismi di verifica dell'identità del richiedente il certificato, richiesti in base a diversi livelli di sicurezza, dal più alto al più basso.Questi sono richiesti in base a diversi livelli di sicurezza, dalla verifica dei documenti d'identità all'incontro fisico (descritto di seguito);
  2. l'autorità di certificazione firma con la propria chiave privata per garantire l'integrità del certificato e l'affidabilità delle informazioni in esso contenute;
  3. la chiave privata è associata a un certificato radice, che ha il massimo livello di sicurezza;
  4. l'autorità di certificazione si basa sul certificato radice per creare certificati intermedi, che beneficiano del suo livello di fiducia e vengono utilizzati per firmare i certificati digitali emessi dalla CA.

ℹ️ Base di fiducia per tutti i certificati emessi dalla CA, il certificato radice è generalmente conservato in un luogo protetto off-line.

Autorità di registrazione e unità di produzione

Il funzionamento di un'autorità di certificazione si basa su :

  • un' autorità di registrazione responsabile delle funzioni organizzative:
    • elaborare le richieste di certificati
    • verifica delle informazioni dei richiedenti
    • accettare o respingere le domande
    • revocare i certificati;
  • un' unità di produzione che gestisce gli aspetti tecnici della produzione dei servizi di certificazione:
    • creazione di identità elettroniche
    • gestione dei sistemi crittografici,
    • garantire la sicurezza dell'ambiente e dell'intero processo;
  • un' autorità di deposito, che mira a :
    • centralizzare
    • immagazzinare
    • archiviare i certificati validi, scaduti o revocati.

Diventare un'autorità di certificazione

Sebbene sia tecnicamente possibile creare una propria autorità di certificazione e generare una chiave privata, è essenziale che gli utenti si fidino di questo servizio.

Tuttavia, il numero di autorità di certificazione autorizzate è limitato. Per aderire a uno schema di riconoscimento delle autorità di certificazione autorizzate, è necessario soddisfare una serie di criteri, definiti da browser web, sistemi operativi e dispositivi. Una volta che le CA soddisfano questi criteri, possono emettere certificati SSL, che vengono automaticamente riconosciuti.

Le CA sono inoltre regolarmente sottoposte a rigorosi audit operativi, difficili da rispettare. Questi garantiscono il livello di fiducia che si può riporre nelle loro attività.

I diversi tipi di certificato elettronico

Per le entità che creano e distribuiscono contenuti su Internet, il tipo di certificato più diffuso è il certificato SSL (Secure Socket Layer). I certificati SSL sono collegati ai nomi di dominio e vengono utilizzati per autenticare e crittografare gli scambi di dati con i siti web.

Per rilasciare un certificato digitale, l'autorità di fiducia verifica l'identità del richiedente sulla base di alcune verifiche, che dipendono dalla classe e dal tipo di certificato richiesto.

Esistono tre livelli di fiducia

  • Certificato a convalida estesa(EV): il livello più alto di garanzia dell'identità del richiedente il certificato, basato su una grande quantità di informazioni verificate, tra cui diversi elementi di identificazione;
  • il certificato convalidato dall 'organizzazione (OV): un livello di fiducia ancora garantito, ma con controlli meno severi;
  • il certificato convalidato dal dominio (DV): l'unica condizione per ricevere questo certificato è che la persona o l'organizzazione che lo richiede dimostri di essere il proprietario del dominio per il quale viene fatta la richiesta.

Le autorità di certificazione hanno ampliato la loro gamma di servizi e ora rilasciano certificati digitali diversi da quelli per i domini web, come i certificati :

  • certificati di firma del codice
  • certificati di posta elettronica
  • certificati di dispositivi
  • certificati per client o utenti (verifica della firma),

per vari scopi di firma, crittografia e autenticazione.

Per scambi elettronici sicuri

Un certificato digitale emesso da un'autorità di certificazione è una vera garanzia di sicurezza per i vostri scambi elettronici, un requisito essenziale in un momento in cui il numero di scambi di dati su Internet è in continuo aumento.

Diventa fondamentale autenticarsi su siti sicuri, garantire il valore legale dei documenti dematerializzati e autenticare persone o entità, grazie alla concessione di certificati digitali.

Una volta scelto il vostro fornitore di servizi, dovete sapere che possono essere necessarie diverse settimane per richiedere un certificato, quindi pianificate per tempo!

A quale autorità di certificazione affiderete le vostre richieste di certificati elettronici?

Articolo tradotto dal francese