Come ottenere, sospendere o revocare un certificato digitale?

In un post precedente abbiamo visto cosa sono i certificati digitali e di come questi siano in grado di garantire che un soggetto, sia esso un server o una persona, sia effettivamente chi e cosa dichiara di essere, proteggendo i dati scambiati attraverso la crittografia a chiave asimmetrica.

I certificati digitali rappresentano la garanzia della corrispondenza tra una coppia di chiavi asimmetriche e una persona fisica e possono essere emessi per identificare:

  • Un soggetto: in questo caso il certificato permette l’accesso ai server che richiedono un’autenticazione tramite un certificato.
  • Un’Autorità di Certificazione: sono quei certificati che attestano l’identità di una autorità di certificazione
  • Un sito internet: garantisce che il server che sta rispondendo corrisponde al dominio certificato consentendo l’identificazione di server che utilizzano un protocollo di comunicazione sicura come ad esempio SSL. Generalmente questo tipo di certificato viene utilizzato per effettuare login sicuri per i siti Web, invio di informazioni dei clienti, invio di informazioni di pagamento, e login sicuri per le Intranet
  • Un software: tale certificato identifica il produttore di un software distribuito tramite Internet garantendone la provenienza

Essi possono essere rilasciati da un’Autorità di Certificazione che rappresenta la TTP (Trusted Third party) vale a dire una terza parte fidata che svolge il ruolo di garante di chi utilizza il certificato, e che garantisce la validità delle informazioni riportate in esso, analogamente a quanto avviene con gli enti pubblici come il Comune o la prefettura che rilasciano un documento d’identità.

Tra le principali funzioni svolte da una CA ci sono:

  • L’autenticazione dell’identità dei richiedenti
  • La validazione delle richieste di certificati
  • L’emissione dei certificati
  • La manutenzione del registro delle chiavi pubbliche
  • La revoca o sospensione di un certificato

Un certificato emesso da una CA tipicamente contiene:

  • il nome del possessore, in caso di persona fisica conterrà le informazioni anagrafiche del titolare se invece è un server web avrà l’indirizzo web e il nome della compagnia titolare del dominio;
  • la chiave pubblica del possessore
  • la data di scadenza della chiave pubblica;
  • il nome della CA che ha emesso il certificato;
  • la firma digitale della CA che ha emesso il certificato.

L’emissione effettiva di un certificato digitale da parte di una CA deve essere preceduta da una fase di registrazione del richiedente. Per questa fase la CA può avvalersi di uffici di registrazione (RA Registration Authority) che a seguito di un adeguato addestramento del personale impiegato, potranno svolgere la funzione di identificazione e registrazione dei dati; a fase ultimata al titolare verrà consegnato il dispositivo sicuro (smart card o token) su cui sono stati caricati i certificati richiesti e una busta cieca contenente il PIN del dispositivo.

La generazione delle coppie di chiavi avviene all’interno del dispositivo di sicurezza e riguarda:

  1. le chiavi di certificazione, cioè le chiavi utilizzate dall’Ente Certificatore per firmare elettronicamente i certificati dei titolari e le liste di revoca e sospensione dei certificati;
  2. le chiavi del titolare, vale a dire le chiavi di firma attribuite dall’Ente Certificatore ai singoli titolari.

In questa fase di emissione la coppia di chiavi viene associata in modo univoco all’utente.

Dal momento dell’emissione il certificato digitale avrà validità 3 anni, al termine dei quali potrà effettuare il rinnovo degli stessi.

Cosa si intende con revoca o sospensione di un certificato digitale?

Il titolare di un certificato digitale può decidere di sospendere o revocare il proprio certificato.

La sospensione è un provvedimento che modifica la validità di un certificato digitale e rende non valide le firme apposte successivamente alla sospensione stessa e fino alla data di fine sospensione. Essa può essere richiesta all’Autorità di Certificazione anche per un temporaneo inutilizzo del dispositivo; cessato il periodo di sospensione, durante il quale il titolare conserva in un luogo sicuro il dispositivo e relativo PIN, il certificato viene riattivato.

La revoca, invece, è un provvedimento definitivo che può essere richiesta per motivi come: smarrimento, furto, variazione dei dati riportati nei certificati digitali, compromissione della chiave privata, guasto del dispositivo di firma.

Per entrambi i provvedimenti è necessario rivolgersi all’Autorità di Certificazione che ha rilasciato il certificato che provvederà a sospendere o revocare il certificato digitale e inserirlo nella CRL (Certificate Revocation List): la lista dei certificati digitali revocati e sospesi.

 

4 COMMENTS