Che cos’è la Certificate Authority?

Q: Che cos’è la Certificate Authority?

La locuzione ‟Certificate Authority” è utilizzata per indicare l’‟Autorità di Certificazione” ossia una TTP (Trusted Third Part), o ‟terza parte fidata” (pubblica o privata) incaricata di emettere, gestire e revocare certificati digitali secondo procedure standardizzate e normative di riferimento.

Certificate Authority

Una Certificate Authority (CA), detta anche ‟Autorità di Certificazione”, è una TTP (Trusted Third Part), o ‟terza parte fidata” (pubblica o privata) incaricata di emettere, gestire e revocare certificati digitali secondo procedure standardizzate e normative di riferimento.

Un certificato digitale è un documento elettronico che associa un’identità (ad esempio di un sito web, un’organizzazione o un utente) a una coppia di chiavi crittografiche (pubblica/privata). Esso contiene informazioni identificative e la firma digitale della CA che lo ha emesso, consentendo ai sistemi informatici di verificare l’autenticità dell’identità e di stabilire connessioni sicure.

Le CA (Certificate Authority) sono fondamentali per:

verificare l’identità delle entità che richiedono un certificato (dominio, azienda o utente);
emettere e firmare digitalmente i certificati, garantendo che la chiave pubblica presente nel certificato appartenga realmente a chi la richiede;
abilitare connessioni sicure mediante protocolli crittografici come SSL/TLS (‟Secure Sockets Layer” / ‟Transport Layer Security”), usati per esempio in HTTPS (HyperText Transfer Protocol over Secure Socket Layer) nei browser;
gestire la durata, il rinnovo e la revoca dei certificati tramite meccanismi come le ‟CRL” (Certificate Revocation List) o il protocollo ‟OCSP”.

Il processo di certificazione funziona nel seguente modo:

CSR (‟Certificate Signing Request” o ‟Generazione della chiave e richiesta”): l’entità richiedente crea una coppia di chiavi e invia alla ‟CA” una richiesta di firma (CSR);
Verifica dell’identità: la ‟CA” (Certificate Authority) controlla le informazioni fornite (come, ad esempio, il dominio e dati dell’organizzazione) in base al tipo di certificato richiesto;
Emissione del certificato: dopo la verifica, la ‟CA” (Certificate Authority) firma digitalmente il certificato con la propria chiave privata e lo rilascia;
Installazione e uso: il certificato viene installato sul server o dispositivo per abilitare comunicazioni sicure e autenticazione.

Esistono i diversi tipi di CA:

Root CA: è il livello più alto della catena di fiducia. Il certificato di una ‟Root CA” è preinstallato nei browser e nei sistemi operativi, che lo considerano automaticamente attendibile;
Intermediate CA: è una ‟CA” (Certificate Authority) subordinata che riceve fiducia dalla ‟Root CA” e può emettere certificati finali. Questo schema migliora la sicurezza e la scalabilità;
Private CA: usata internamente da organizzazioni per certificati interni (ad esempio VPN e Wi-Fi aziendale).

Senza una ‟CA” (Certificate Authority), non esisterebbe un meccanismo affidabile per certificare l’identità di siti web, servizi o utenti digitali. La ‟CA” (Certificate Authority) costituisce il trust anchor (ancora di fiducia) nel sistema di sicurezza chiamato PKI (Public Key Infrastructure), consentendo:

connessioni HTTPS (HyperText Transfer Protocol over Secure Socket Layer) sicure e protezione da attacchi di tipo “man-in-the-middle”;
autenticazione di servizi e utenti nelle comunicazioni digitali;
cifratura dei dati in transito e non solo, compresi protocolli email, firme digitali e accessi protetti;

In ambito normativo europeo e italiano

In alcuni casi (come, ad esempio, per i certificati qualificati ai sensi del regolamento eIDAS), la ‟CA” (Certificate Authority) deve essere accreditata e conforme alla normativa UE e nazionale, ad esempio per l’emissione di certificati qualificati per la firma digitale (firma elettronica).

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z