Vorrei avere maggiori dettagli sull’SSL. Qual è il principio di funzionamento? La tecnologia SSL (Secure Socket Layer) protegge le comunicazioni fra Web browser e Web server facendo uso di varie tecnologie di crittografia, fra cui algoritmi a chiave pu …
Vorrei avere maggiori dettagli sull’SSL. Qual è il principio
di funzionamento?
La tecnologia SSL (Secure Socket Layer) protegge le comunicazioni fra Web
browser e Web server facendo uso di varie tecnologie di crittografia, fra cui
algoritmi a chiave pubblica come l’RSA, algoritmi simmetrici come il noto
DES e funzioni per la generazione di codici di controllo crittografici (checksum)
come SHA o MD5.
Il suo scopo è quello di rendere incomprensibili i messaggi scambiati
sulla connessione, cifrando i dati in transito con una chiave “C”
nota soltanto alle due parti in comunicazione.
Nella fase di negoziazione il server spedisce al client la propria chiave pubblica,
che il client utilizza per cifrare una chiave inventata appositamente per questa
sessione. Il client, a questo punto, rispedisce al server la chiave “C”
cifrata con la chiave pubblica del server.
Grazie alle proprietà asimmetriche degli algoritmi a chiave pubblica,
soltanto chi conosce la corrispondente chiave privata è in grado di decifrare
il messaggio.Di conseguenza, anche se eventuali hacker intercettassero il messaggio
da client a server non avrebbero alcuna possibilità di decifrarlo.
Invece il server, l’unico a conoscere la propria chiave privata, può
facilmente decrittografare la chiave “C” e iniziare a usarla per la
successiva comunicazione con il client.
L’SSL oggi impiega chiavi di cifratura da almeno 128 bit, sufficienti per assicurare
un livello di protezione a prova di attacco: circa 4000 miliardi di miliardi
di volte migliore di quello possibile con chiavi da 56 bit. In alcuni sistemi
il livello di protezione è ancora superiore: la chiave può raggiungere
i 256 bit, con una protezione virtualmente inattaccabile.
Inoltre l’algoritmo crittografico, nei sistemi più moderni, non
è più l’obsoleto DES (Data Encryption Standard), ma il più
moderno e sicuro AES (Advanced Encryption Standard). Con simili misure crittografiche
la connessione può essere considerata sostanzialmente invulnerabile;
le falle di sicurezza saranno allora da cercare alle estremità della
connessione.
La combinazione fra l’HTTP e l’SSL è il protocollo HTTPS.
