Cosa analizziamo?
Il certificato SSL/TLS è la base della sicurezza web, garantendo la riservatezza e l'integrità dei dati in transito. Tuttavia, un certificato valido non è sufficiente se la configurazione del server è debole. Verifichiamo l'intero stack crittografico.
Punti di verifica tecnica
Validità del Certificato
Controllo della scadenza, revoca (OCSP/CRL) e catena di fiducia corretta.
Protocolli Supportati
Verifica del supporto per TLS 1.2/1.3 e avviso per protocolli obsoleti (SSLv3, TLS 1.0/1.1).
Cifratura (Cipher Suites)
Identificazione di algoritmi di cifratura deboli o deprecati (es. RC4, 3DES).
Reindirizzamento HTTPS
Verifica che la versione HTTP reindirizzi automaticamente alla versione sicura HTTPS.
Vulnerabilità Note
Controllo di vulnerabilità specifiche come Heartbleed, POODLE, o ROBOT.
Importanza per la sicurezza
Una configurazione SSL/TLS errata può dare un falso senso di sicurezza. Gli attaccanti possono decrifrare il traffico (Man-in-the-Middle) se vengono utilizzati protocolli deboli, rubando credenziali e dati personali degli utenti.
Impatto se fallisce
- Intercettazione di dati sensibili (password, carte di credito)
- Avvisi di sicurezza ("Sito Non Sicuro") nel browser dell'utente
- Danno reputazionale immediato
- Non conformità con gli standard di pagamento online (PCI-DSS)
Quadro Normativo (GDPR)
L'articolo 32 del GDPR impone misure tecniche per garantire la sicurezza del trattamento, citando esplicitamente la cifratura dei dati personali. L'assenza di HTTPS o una configurazione debole è considerata una violazione di questo obbligo.