bg-blog-articles

Cos’è un certificato intermedio e come funziona?

Cos'è un certificato intermedio

Quando si esplora la sicurezza digitale, si incontra il termine certificato intermedio. Ma cos’è un certificato intermedio e perché è così importante? Vediamo di capire come i certificati intermedi si inseriscono nella struttura SSL/TLS e nella più ampia infrastruttura a chiave pubblica (PKI).


Indice dei contenuti

  1. Cos’è un certificato intermedio?
  2. Come funziona un certificato intermedio?
  3. L’importanza dei certificati intermedi in SSL/TLS
  4. Certificati SSL radice vs. intermedi vs. certificati SSL
  5. Tipi di certificati intermedi
  6. Come ottenere un certificato intermedio
  7. Usi comuni dei certificati intermedi

Ottieni i certificati SSL oggi stesso

Cos’è un certificato intermedio?

Un certificato intermedio si colloca tra il certificato root e quello dell’utente finale nella gerarchia dei certificati SSL/TLS. Il suo compito principale è quello di creare un ponte di fiducia tra l’autorità di certificazione radice (CA) e il certificato finale utilizzato dall’entità finale, come un sito web o un’applicazione. Tecnicamente, si tratta di un file che contiene una chiave pubblica, una firma dell’autorità emittente e altri metadati.

Per visualizzare questo aspetto, pensa a una catena di certificati. In cima c’è il certificato radice, un’autorità fidata che non firma direttamente tutti i certificati. Al contrario, rilascia certificati intermedi che poi rilasciano i certificati degli utenti finali. Questa gerarchia aiuta a gestire e proteggere i certificati digitali in modo più efficiente.


Come funziona un certificato intermedio?

Ecco come funziona un certificato intermedio all’interno del protocollo SSL/TLS:

  1. Emissione: L’autorità di certificazione radice (CA) emette certificati intermedi. Questi non vengono utilizzati direttamente sui server web, ma collegano la CA radice e i certificati dell’entità finale.
  2. Richiesta di firma del certificato (CSR): Quando un sito web ha bisogno di un certificato, genera una CSR e la invia alla CA. Il CSR include informazioni come la chiave pubblica e i dettagli organizzativi.
  3. Firma e verifica: La CA verifica la CSR e rilascia i certificati intermedi(CA Bundle) e il certificato dell’utente finale. I certificati intermedi sono firmati con la chiave privata della CA radice, per garantirne la legittimità.
  4. Catena di fiducia: L’autorità di certificazione intermedia firma il certificato dell’utente finale. I browser o i client possono risalire attraverso la catena fino al certificato radice per confermare la fiducia.
  5. Stabilire la fiducia: Quando un utente si collega a un sito sicuro, il suo browser controlla l’intera catena, dal certificato dell’utente finale alla CA intermedia e infine al certificato radice. Se tutti i certificati sono validi e attendibili, la connessione è sicura.
  6. Revoca e rinnovo dei certificati: Le CA possono revocare e rinnovare i certificati intermedi e degli utenti finali se compromessi o scaduti. I browser verificano lo stato di revoca attraverso le Certificate Revocation List (CRL) o l’Online Certificate Status Protocol (OCSP) per assicurarsi che i certificati siano validi.

L’importanza dei certificati intermedi in SSL/TLS

I certificati intermedi sono essenziali per diversi motivi:

  • Maggiore sicurezza: Utilizzando certificati intermedi, la CA radice può mantenere il proprio certificato sicuro. Se un certificato intermedio viene compromesso, il certificato radice rimane intatto.
  • Gestione efficiente: I certificati intermedi semplificano la gestione di un gran numero di certificati. Permettono di delegare efficacemente l’emissione dei certificati e riducono l’esposizione del certificato radice.
  • Flessibilità e controllo: Con più CA intermedie, le organizzazioni possono creare percorsi di certificazione distinti per le diverse esigenze. Questa configurazione consente un migliore controllo e una maggiore flessibilità nella gestione dei certificati.

Certificati SSL radice vs. intermedi vs. certificati SSL

Capire la distinzione tra certificati root e intermedi può aiutarti a risolvere diversi problemi legati all’SSL.

  • Certificati radice: Rilasciati dalla CA principale, sono i certificati di livello superiore memorizzati nei root store dei principali browser e sistemi operativi. Sono autofirmati e stabiliscono il massimo livello di fiducia.
  • Certificati intermedi: Sono emessi dalla CA principale o da un’altra CA intermedia. Fanno da ponte nel percorso di certificazione e vengono utilizzati per firmare i certificati degli utenti finali.
  • Certificati SSL: Installati sui server web, questi certificati sono emessi da una CA intermedia. Crittografano i dati tra il server e il client.

Tipi di certificati intermedi

I diversi tipi di certificati intermedi includono:

  • CA intermedia singola: una CA semplice che emette certificati per scopi o entità specifiche.
  • Certificati con firma incrociata: Certificati intermedi firmati da più CA radice per garantire la compatibilità tra i diversi root store.
  • Altri certificati intermedi: Rilasciati per casi d’uso specifici o da diverse CA intermedie con ruoli e autorità distinte. Ad esempio, Sectigo emette diversi tipi di certificati intermedi per scopi specifici. Un esempio è la Code Signing Intermediate CA, utilizzata esclusivamente per emettere certificati per la firma del codice. Questa CA intermedia garantisce la verifica e la sicurezza di software e applicazioni.
Risparmia il 10% sui certificati SSL

Come ottenere un certificato intermedio

Le CA rilasciano certificati intermedi alle organizzazioni che gestiscono le proprie CA subordinate. Gli utenti normali di solito non li generano o li richiedono.

Per ottenerne una, devi avere un rapporto consolidato con una CA fidata che ti permetta di agire come CA subordinata.

Se sei un’organizzazione che gestisce un’infrastruttura a chiave pubblica (PKI), puoi richiedere un certificato intermedio a una CA. Spesso dovrai dimostrare la sicurezza dei tuoi sistemi e la tua intenzione di rilasciare certificati in modo responsabile.

Quando viene emesso un certificato per l’utente finale, la CA spesso fornisce un CA bundle, che include i certificati intermedi necessari per stabilire una catena di fiducia dal certificato dell’utente finale al certificato root. Questo bundle viene installato sul server e consente ai browser di convalidare correttamente il certificato, anche su versioni precedenti.


Usi comuni dei certificati intermedi

Le autorità di certificazione utilizzano i certificati intermedi per proteggere i loro certificati radice durante l’emissione dei certificati ai clienti. Ecco come si comportano:

  • Delegare la fiducia: I certificati radice sono raramente utilizzati direttamente perché la compromissione di una radice comprometterebbe la fiducia nell’intera CA. I certificati intermedi fungono da intermediari, firmando i certificati degli utenti finali per conto della CA principale e preservando il certificato principale.
  • Catena di certificati: Quando una CA emette un certificato intermedio, lo collega tra il certificato radice e il certificato finale che un sito web o un server utilizza. Questa catena convalida l’autenticità del certificato da parte di browser e sistemi.
  • Emissione di diversi tipi di certificati: I certificati intermedi consentono alle CA di creare e gestire certificati per scopi diversi (ad esempio, SSL/TLS per i siti web, firma del codice, sicurezza delle e-mail) senza mettere a rischio la radice.

Dove si usano i certificati intermedi

  • Infrastrutture CA pubbliche: Le principali CA come Let’s Encrypt, DigiCert e altre emettono certificati SSL/TLS attraverso intermediari. Questa pratica garantisce che i certificati radice della CA rimangano sicuri.
  • Sistemi PKI privati: Le aziende con infrastrutture a chiave pubblica (PKI) interne utilizzano certificati intermedi per gestire la fiducia all’interno dell’organizzazione. Possono emettere certificati intermedi per diversi reparti o applicazioni, ognuno dei quali è responsabile della firma dei certificati degli utenti finali.
  • CA subordinate: Le grandi organizzazioni possono ricevere certificati intermedi da una CA primaria. Queste organizzazioni possono agire come CA subordinate, rilasciando certificati per domini o servizi specifici.

Certificato CA intermedio in azione

Immagina un negozio online che utilizza SSL/TLS per proteggere le transazioni. Ecco come funzionano i certificati intermedi:

  1. CA principale: rilascia certificati intermedi alle CA fidate.
  2. CA intermedia: firma il certificato SSL per il server web del negozio.
  3. Certificato dell’utente finale: Installato sul server, cripta i dati tra il server e gli utenti.
  4. Verifica: I browser degli utenti risalgono al certificato SSL attraverso il certificato intermedio fino al certificato principale, confermando la sicurezza della connessione.

In fondo, la linea di fondo

In sintesi, i certificati intermedi garantiscono un percorso di certificazione sicuro e verificabile nella crittografia SSL/TLS. Garantiscono che i certificati digitali che proteggono le comunicazioni web siano affidabili e degni di fiducia. Comprendere il loro ruolo ti aiuterà a gestire e proteggere il tuo ambiente digitale, sia che tu sia un professionista IT, uno sviluppatore web o un principiante della cybersecurity.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.