I certificati Entrust TLS/SSL
forniscono identità e crittografia convalidate per proteggere i tuoi siti Web, i tuoi utenti e i vostri dati
Nella crittografia asimmetrica un certificato digitale è un documento elettronico che attesta l’associazione univoca tra una chiave pubblica e l’identità di un soggetto (una persona, una società, un computer, etc) che dichiara di utilizzarla nell’ambito delle procedure di cifratura asimmetrica e/o autenticazione tramite firma digitale.
Il certificato digitale contiene quindi informazioni sulla chiave, informazioni sull’identità del proprietario (denominato oggetto, ovvero organizzazione) e la firma digitale di un’entità che ha verificato i contenuti del certificato (denominata emittente, ovvero autorità di certificazione CA).
Grazie al protocollo di crittografia SSL/TLS, i certificati SSL garantiscono quindi:
- L’identità dell’organizzazione che fornisce i servizi on-line;
- La cifratura dei dati, scambiati tra utente e sito web (ad esempio, dati personali o dettagli degli acquisti effettuati con carte di credito).
Struttura dei Certificati
La struttura di un certificato digitale X.509 v3 è la seguente:
- Certificato
- Versione
- Numero seriale
- ID dell’algoritmo
- Ente emettitore
- Validità
- Non prima
- Non dopo
- Soggetto
- Informazioni sulla chiave pubblica del soggetto
- Algoritmo per l’utilizzo della chiave pubblica
- Chiave pubblica
- Codice identificativo univoco dell’emittente (facoltativo)
- Codice identificativo univoco del soggetto (facoltativo)
- Estensioni (facoltativo)
- Algoritmo di firma del certificato
- Firma del certificato
CONTENUTO DI UN CERTIFICATO
Un certificato tipicamente include:
- una chiave pubblica;
- dei dati identificativi, che possono riferirsi ad una persona, un computer o un’organizzazione;
- un periodo di validità;
- l’URL della lista dei certificati revocati (CRL);
Il tutto è firmato da una terza parte fidata.
MODALITÀ DI RILASCIO
La richiesta di certificazione SSL Server avverrà tramite l’invio di apposita modulistica predisposta allo scopo.
Entrust Datacard effettuerà le necessarie verifiche in merito ai domini per i quali viene richiesta la certificazione SSL Server.
Ad esito positivo, Entrust Datacard invierà al cliente via email:
- La richiesta di conferma delle condizioni contrattuali e, successivamente all’accettazione delle medesime,
- le credenziali di accesso alla piattaforma di gestione del proprio account CMS in cloud.
ll cliente accederà alla piattaforma CMS, potendo gestire in piena autonomia l’attivazione del certificato.
Entrust CMS (Certificate Management Software)
Entrust CMS è la piattaforma Entrust che permette di gestire GRATUITAMENTE i certificati acquistati e dei servizi correlati.
Tipologia di certificati
Di seguito una tabella riassuntiva dei certificati disponibili, con evidenza delle singole caratteristiche.
FORMULA POOLING
La formula Pooling, esclusiva di Entrust, prevede la gestione dei certificati con una licenza di durata annuale o pluriennale.
All’interno del periodo di validità dell’account pooling il cliente può aggiungere certificati pagandone la sola quota parte utilizzata, revocarli e riassegnarli su un nuovo progetto/sito/server, senza ulteriore aggravio di costi a carico del cliente e stabilire la loro durata per allineare, ove di interesse, le scadenze temporali degli stessi.
La formula prevede in sostanza la possibilità di unificare in singole date gli acquisti e i rinnovi e di sfruttare sconti dedicati sui volumi e sulla durata dell’account.
FORMULA NON POOLING
La formula non pooling prevede l’acquisto di unità/anno. Due unità possono poi essere accorpate per generare un certificato della durata di due anni (il massimo, secondo le indicazioni del CA/Browser Forum)
È possibile acquistare in anticipo le unità, in modo da usufruire di sconti per quantità, per poi emettere progressivamente i certificati sulla base delle esigenze.
In generale, i certificati possono essere emessi entro 1 anno dalla data di acquisto e inserimento nell’account CMS del cliente.
Nella formula non-pooling non è previsto il riciclo ma è possibile richiedere la revoca dei certificati già emessi entro 1 mese dalla data di attivazione, facendone esplicita richiesta per email al proprio referente.
CONFRONTO TRA LA FORMULA POOLING E LA FORMULA NON POOLING, DAL SITO ENTRUST DATACARD
Esempio:
Da un unico punto di accesso e con un sistema di utenti e gruppi, si potranno gestire certificati della propria organizzazione in termini di scadenze, alert, report personalizzati e molto altro.
| Acquisto su base Account | Acquisto su base Unità | |
| Accordo di Licenze | Il piano versatile consente di emettere e riutilizzare i certificati SSL / TLS per tutta la durata dell’account | Questo è un sistema basato su unità in cui i certificati possono essere rilasciati per 1, 2 o 3 anni. |
| Acquistare un inventario di certificati SSL / TLS per un periodo di conto fisso (1-5 anni). | Disponibile per tutti i tipi di certificato. | |
| Scegli il periodo di validità per ciascun certificato SSL / TLS. | Un’unità rappresenta un anno. | |
| Alla scadenza, la licenza viene restituita all’inventario per essere riutilizzata per tutta la durata dell’account. | Le licenze scadono alla fine del termine e non possono essere riutilizzate. Ad esempio, un certificato SSL / TLS di 24 mesi consuma 2 unità. | |
| Selezionare le date di scadenza per soddisfare il programma evitando i fine settimana, le festività e i periodi di maggiore affluenza. | ||
| Pianificazione | Una data di scadenza dell’account fissa rinnova tutte le licenze contemporaneamente. | Scadenza attiva: l’account rimane attivo per la durata del certificato attivo più lungo. |
| Periodo di emissione | I certificati OV possono essere emessi da 2 a 39 mesi e certificati EV per 2-27 mesi per tutta la durata dell’account, secondo le linee guida del settore. – Selezionare le date di scadenza per soddisfare il programma evitando i fine settimana, le festività e i periodi di maggiore affluenza. | La data di scadenza varia in base al periodo di validità acquistato per i singoli certificati. |
| Budgeting | Una data di scadenza dell’account fissa rinnova tutte le licenze contemporaneamente. | I certificati sono pagati per intero al momento dell’acquisto. |
| Riduce al minimo i costi imprevisti con il potenziale di sconti per termini e volumi validi per tutto il periodo dell’account. | ||
| Scadenza termine: è un modo economico per acquistare certificati. Effettuando il pagamento anticipato del termine del tuo account, ricevi uno sconto anticipato in base alla durata del tuo account. | ||
| I certificati aggiuntivi possono essere acquistati su base proporzionale (in base al tempo rimanente sull’account) e al prezzo scontato originale. | ||
| Lo sconto del volume premia il cliente man mano che il volume aumenta. I componenti aggiuntivi sono prezzati in base al numero totale di licenze e ricevute sul volume per tutta la durata dell’account. | ||
| Delivery | Gestisci il tuo account con Servizi certificati, la nostra piattaforma di gestione del ciclo di vita dei certificati. | Gestisci il tuo account con Servizi certificati, la nostra piattaforma di gestione del ciclo di vita dei certificati. |
| Qual è il piano giusto per la mia organizzazione? | Ambienti Web che richiedono la massima flessibilità per i periodi di emissione e validità del certificato. | Le organizzazioni che fatturano i certificati ritorna ai clienti o ai reparti interni. |
| Quando sono richiesti i costi esatti dei singoli certificati. | ||
| Organizzazioni più grandi o in crescita in cui le esigenze possono variare in base al termine dell’account. | Organizzazioni più piccole con utilizzo limitato. | |
| Esempio (Caso d’Uso) | Acquista 20 licenze per un periodo dell’account triennale e ricevi sconti per termini e volumi. È possibile emettere e riutilizzare fino a 20 certificati SSL / TLS per il periodo di validità scelto in qualsiasi momento per tutta la durata dell’account. Per tutto il periodo dell’account, acquistare certificati SSL / TLS aggiuntivi su base pro-rata, al prezzo scontato originale. | I certificati basati su unità vengono emessi in unità / anni consentendo di riemettere o ricontrollare singoli certificati. |
| Acquista 20 unità per emissione immediata. Ad esempio 5 certificati biennali e 10 certificati di un anno da implementare sui tuoi server. Questi server saranno protetti durante i periodi di validità. |
Modi d’uso dei certificati
EMAIL CERTIFICATA
Nel protocollo S / MIME per l’e-mail protetta, i mittenti devono scoprire quale è la chiave pubblica da utilizzare per un determinato destinatario. Ottengono queste informazioni da un certificato di posta elettronica. Alcune autorità di certificazione pubbliche di fiducia forniscono certificati di posta elettronica, ma più comunemente S / MIME viene utilizzato quando si comunica all’interno di un’organizzazione specifica e tale organizzazione gestisce la propria CA, che è attendibile dai partecipanti a quel sistema di posta elettronica.
CERTIFICATO DI FIRMA DEL CODICE
I certificati possono anche essere utilizzati per convalidare le firme sui programmi per garantire che non siano stati manomessi durante la consegna.
Authenticode è un esempio di uno schema di firma di codice.
CERTIFICATI DI IDENTIFICAZIONE DISPOSITIVI
La proliferazione di dispositivi mobili offre alle organizzazioni enormi opportunità di aumentare l’efficienza aziendale. Affidare soluzioni basate su cloud consente alle organizzazioni di implementare e gestire in modo trasparente i certificati digitali sui dispositivi mobili per proteggere identità e transazioni mobili, garantire un accesso sicuro alle reti aziendali e abilitare e-mail sicure. Le imprese affrontano una serie di sfide diverse per l’uso di dispositivi mobili coesistenti all’interno delle infrastrutture di sicurezza aziendali da parte del personale. L’opportunità di dotare questi dispositivi mobili di certificati di sicurezza emessi da Entrust Datacard consente di poter utilizzare gli stessi in totale sicurezza.
Strumenti per la gestione del ciclo di vita dei certificati
ENTRUST CMS
DISCOVERY
Discovery Agent è uno strumento gratuito fornito da Entrust all’interno della piattaforma Entrust Identity Guard. Discovery Agent esegue una scansione della rete e rileva i certificati installati, generando report che possono essere anche esportati in file excel.
Discovery Manager: è un servizio facoltativo a pagamento che consente la gestione dei certificati SSL Server di terze parti, individuati nel corso della scansione effettuata da Discovery Agent. Questo servizio favorisce, con una piccola fee a certificato, di gestire tutte le informazioni necessarie per una migrazione progressiva dei certificati di terze parti verso il mondo Entrust.
SSL SERVER TEST
Integrato nella piattaforma CMS è disponibile gratuitamente il servizio SSL Server Test, che consente la verifica della corretta configurazione del proprio server e dei certificati SSL Server installati, nonché la risoluzione di eventuali problemi rilevati in fase di verifica.
Il test restituisce anche un ranking che è visibile all’interno della dashboard del CMS.
SITELOCK
I certificati Entrust includono il tool anti malware fornito grazie alla partneship con SiteLock, che prevede:
- Scansione giornaliera malware;
- Controllo della reputazione;
- Scansione della vulnerabilità del sito Web e della Rete;
- Esposizione del sito del cliente di Logo “Entrust + SiteLock”.
ASSISTENZA PERSONALIZZATA
L’Assistenza clienti è capillare e segue ogni fase del processo di rilascio.
Le piattaforme di accesso sono molteplici e prevedono:
– self service online;
– richiesta per email,
– assistenza diretta telefonica,
– intervento tramite accesso remoto sul PC.
Il personale dello staff tecnico Entrust Datacard sarà a disposizione per individuare la modalità di assistenza più adeguata, in grado di soddisfare ogni tipo di esigenza, in ogni momento.
