Il processo SSL (Secure Sockets Layer) prevede la creazione di una connessione sicura tra un client e un server. Inizia con l’handshake SSL, in cui il client e il server si scambiano informazioni per stabilire un canale di comunicazione sicuro. Il client invia un messaggio “ClientHello”, specificando la versione SSL, i pacchetti di crittografia e altre impostazioni. Il server risponde con un messaggio “ServerHello”, scegliendo la versione SSL e il pacchetto di crittografia dall’elenco del client. Il server invia quindi il suo certificato digitale, che il client verifica. Facoltativamente, il server potrebbe richiedere il certificato del client per l’autenticazione reciproca. Una volta verificati, il client e il server generano chiavi di sessione per la crittografia. Il client invia un messaggio “Finito”, crittografato con la chiave di sessione, e il server risponde in modo simile. Questo completa l’handshake e inizia la trasmissione sicura dei dati.
L’operazione SSL si riferisce al processo continuo di crittografia e decrittografia dei dati trasmessi tra il client e il server dopo il completamento dell’handshake SSL. Durante il funzionamento SSL, tutti i dati inviati dal client e dal server vengono crittografati utilizzando le chiavi di sessione stabilite durante l’handshake. Ciò garantisce che i dati non possano essere intercettati o manomessi da soggetti non autorizzati. I dati crittografati vengono trasmessi in rete e il destinatario li decrittografa utilizzando la chiave di sessione. Questo processo continua per tutta la durata della sessione, garantendo riservatezza e integrità alla comunicazione.
I tre tipi di certificati SSL sono i certificati Domain Validated (DV), Organization Validated (OV) e Extended Validation (EV). I certificati Domain Validated (DV) forniscono la crittografia di base e vengono emessi dopo aver verificato che il richiedente possiede il dominio. I certificati Organization Validated (OV) offrono un livello di sicurezza più elevato verificando l’identità dell’organizzazione e la proprietà del dominio. I certificati Extended Validation (EV) forniscono il massimo livello di fiducia e sicurezza, richiedendo un processo di verifica approfondito dell’esistenza legale, fisica e operativa dell’organizzazione. I certificati EV sono indicati da una barra degli indirizzi verde nel browser, che mostra il nome dell’organizzazione, il che aiuta a rafforzare la fiducia degli utenti.