Questa sezione spiega come usare le varie finestre visualizzate dalla Gestione certificati. Le informazioni aggiuntive qui trattate appaiono quando si fa clic sul pulsante Guida in una di queste finestre.
Il Visualizzatore di certificati mostra informazioni a proposito del certificato selezionato in una delle schede del Gestione certificati. La scheda Generale contiene un sommario delle informazioni su chi ha emesso il certificato, il suo stato di verifica, per cosa può essere utilizzato il certificato, ecc. La scheda Dettagli mostra i dettagli completi dei contenuti del certificato.
Se non è ancora aperto il Visualizzatore di certificati, eseguire questa procedura:
Quando si apre per la prima volta il visualizzatore di certificati, la Scheda Generale mostra diversi tipi di informazioni sul certificato appena aperto:
Rilasciato a; vedi sopra) sull'autorità di certificazione (CA) che rilascia il certificato.
Fare clic sulla Scheda Dettagli nella parte alta del Visualizzatore di certificati per vedere informazioni più dettagliate a proposito del certificato selezionato. Per esaminare le informazioni dei certificati contenute nell'area Gerarchia certificato, selezionarne il nome, selezionare il campo da esaminare sotto Campi certificato, e leggere il valore del campo nel riquadro Valore campo:
Il visualizzatore di certificati visualizza caratteri ANSI base in una forma comprensibile dall'uomo, dove possibile. Per i campi il cui contenuto non può essere interpretato dalla Gestione certificati, quest'ultima visualizza il vero valore contenuto nel certificato.
Un dispositivo di sicurezza è un dispositivo hardware o software che gestisce i servizi come cifratura e decifratura, e salvataggio di certificati e chiavi. La finestra Scelta del dispositivo di sicurezza appare quando la Gestione certificati richiede aiuto per decidere quale dispositivo di sicurezza usare quando si importa un certificato o si effettua una operazione di cifratura, come la generazione di chiavi per un nuovo certificato. Questa finestra permette di selezionare uno o più dispositivi per la sicurezza che la Gestione certificati ha trovato nel computer.
La smart card è un esempio di dispositivo di sicurezza. Per esempio: se il lettore di smart card connesso al computer ha una smart card inserita, il nome della smart card verrà visualizzato nel menu a tendina. In questo caso si deve scegliere il nome della smart card dal menu, per permettere alla Gestione certificati di capire che la si vuole utilizzare.
La Gestione certificati fornisce anche un proprio dispositivo di sicurezza interno, che può essere sempre usato a prescindere dal fatto che siano presenti o meno dispositivi addizionali.
Le autorità di certificazione (CA) che rilasciano certificati separati per la firma e la cifratura di e-mail di solito eseguono una copia di sicurezza della propria chiave di cifratura privata, durante il processo di registrazione del certificato.
La finestra di dialogo relativa alla copia della chiave di cifratura permette la creazione di tale copia o la cancellazione della richiesta del certificato. Una CA che ha archiviato una copia di sicurezza della propria chiave di cifratura potenzialmente ha la possibilità di decifrare ogni messaggio ricevuto che è stato cifrato con la chiave pubblica corrispondente.
È possibile effettuare queste operazioni dalla finestra di dialogo relativa alla copia della chiave di cifratura:
Se non si è sicuri su come fare a dare il via libera alla CA che richiede la copia di sicurezza, chiedere al proprio amministratore di sistema.
Dopo che la propria CA ha effettuato una copia di sicurezza della chiave di cifratura, sarà possibile usare questa chiave per accedere alle proprie e-mail cifrate anche se si è persa la propria password o la propria copia della chiave. Se non esiste alcuna copia di sicurezza e si perde la propria password o chiave, non sarà più possibile leggere le e-mail cifrate con quella chiave.
Quando si riceve un certificato, è consigliabile effettuare una copia di sicurezza del certificato e della chiave privata corrispondente, e mettere la copia in un posto sicuro. Per esempio, è possibile mettere la copia in un dischetto e mettere quest'ultimo sotto chiave, insieme ad altri oggetti di valore. In questo modo, anche se si hanno problemi col disco fisso o il file si corrompe, è possibile ripristinare facilmente il certificato.
Potrebbe essere inconveniente, nel migliore dei casi, o in alcune situazioni addirittura catastrofico perdere il certificato e la chiave associata, a seconda dei casi in cui questo è utilizzato. Ad esempio:
Come tutti gli altri oggetti di valore, dovrebbe essere fatta una copia dei certificati per prevenire problemi e spese futuri.
Alcuni siti web richiedono la propria identificazione mediante un certificato, piuttosto che con l'utilizzo di un nome e una password, perché i certificati sono una forma di identificazione più sicura. questo metodo di identificarsi in internet talvolta è chiamato client authentication.
Comunque, la Gestione certificati può avere più di un certificato su file da poter utilizzare per identificarsi a un sito web. In questo caso, la Gestione certificati visualizza la pagina di dialogo Richiesta di identificazione utente, che mostra due tipi di informazioni:
Questo sito ha richiesto l'identificazione attraverso un certificato: Questa sezione della finestra di dialogo elenca le seguenti informazioni:
Scegliere un certificato da presentare come identificazione: I certificati disponibili per l'identificazione in un sito web sono elencati nella lista a tendina in questa sezione della finestra di dialogo. Scegliere il certificato più idoneo per identificarsi al sito che si vuole visitare.
Per aiutare nella decisione, sono visualizzati i seguenti dettagli del certificato selezionato:
I certificati che la Gestione certificati ha su file, sia salvato sul computer o in un dispositivo di sicurezza esterno come una smart card, includono certificati che identificano le Autorità di Certificazione (CA). Per poter riconoscere gli altri certificati salvati su file appartenenti a quelle CA, la Gestione certificati deve avere i certificati per quelle CA che li hanno rilasciati o un'assicurazione di autorizzazione per quei certificati.
Quando si decide di ritenere affidabile una CA, la Gestione certificati scarica il certificato di quella CA e può riconoscere i tipi di certificati rilasciati da quella CA.
Prima di scaricare un nuovo certificato CA, la Gestione certificati permette di specificare gli scopi per cui è stato rilasciato il certificato. È possibile selezionare le seguenti opzioni:
Prima di decidere di ritenere affidabile una nuova CA, bisogna essere sicuri di conoscere chi opera in essa. Assicurarsi che la politica e le procedure della CA siano appropriate per gli scopi per cui rilascia i certificati. Per esempio, se la CA rilascia certificati che identificano siti web che vengono usati per transazioni finanziarie, assicurarsi di essere tranquilli del livello di assicurazione che la CA propone.
Quando si tenta di entrare in un sito web che gestisce l'uso di SSL per l'autenticazione e la cifratura, si può incappare in una pagina di errore. Ce ne sono due tipi, una chimata Connessione sicura non riuscita e una chiamata Connessione non affidabile.
Nel caso in cui è stato disattivato il protocollo SSL (ad.es. attraverso le Impostazioni SSL) o il sito che si sta visitando utilizzi una versione più vecchia e insicura del protocollo SSL, verrà visualizzata una pagina chiamata "Connessione sicura non riuscita". Tale pagina contiene alcune informazioni di base nascoste (incluso il codice di errore che identifica univocamente il tipo di problema che &brandShortName; ha riscontrato con il sito) e un pulsante Riprova che forza il ricaricamento della pagina.
Se in effetti SSL è attivato allora la pagina di errore visualizzata si chiamerà "Questa connessione non affidabile". Ci sono diversi motivi per cui una connessione può risultare non affidabile. Ecco alcune delle più comuni:
La pagina mostrata nei casi elencati aiuta a capire perché &brandShortName; non è stato in grado di stabilire una connessione sicura con il sito web. Inizia dicendo che l'identità non è stata verificata, quindi offre di abbandonare la pagina facendo clic sul pulsante Allontanarsi da questo sito. Se non si è sicuri su cosa fare si raccomanda di seguire tale consiglio.
Se si vuole sapere qualcosa di più sul problema attuale, si può espandere la sezione correspondente facendo clic sul gallone davanti a Dettagli tecnici. Tale sezione contiene anche il codice di errore che identifica univocamente il tipo di problema che &brandShortName; ha riscontrato con il sito.
La sezione Comprendo i rischi della pagina Connessione non affidabile consente di dire a &brandShortName; di superare esplicitamente i controlli di sicurezza per questo sito aggiungendo una eccezione. Se si espande la sezione facendo clic sul gallone davanti ad esso, si vedrà un pulsante Aggiungi eccezione che aprirà una finestra di dialogo dove prendere e visualizzare il certificato del sito web e opzionalmente aggiungervi una eccezione di sicurezza (sia in modo permanente o solo per la sessione corrente). Tali eccezioni possono essere gestite attraverso la scheda della Gestione dei certificati Server.
Nei casi in cui &brandShortName; non riesca a determinare l'esatta ragione del problema una finestra di dialogo chiamata "Connessione sicura non riuscita" viene visualizzata oltre alla Pagina connessione non affidabile. Tale finestra di dialogo include un pulsante Visualizza certificato che permette di esaminare il certificato del sito web più da vicino.
Come una carta di credito, una patente, e molte altre forme di identificazione, un certificato è valido per un periodo di tempo specifico. Quando un certificato scade, il possessore del certificato deve prenderne uno nuovo.
La Gestione certificati segnala quando si tenta di visitare un sito web il cui certificato del server è scaduto. La prima cosa da fare è quella di assicurarsi che l'ora e la data visualizzati sul proprio computer siano corrette. Se il proprio computer è impostato ad una data successiva alla data di scadenza, la Gestione certificati tratta il certificato del sito come scaduto.
Se l'orologio del proprio computer è impostato correttamente, è necessario operare la decisione di ritenere affidabile il sito o meno. Questa decisione dipende da cosa si vuole fare nel sito e quali altre informazioni si hanno su di esso. La maggior parte dei siti commerciali si assicureranno di sostituire i propri certificati prima della scadenza.
È possibile effettuare queste operazioni dalla finestra di dialogo Certificato del server scaduto:
Bisogna essere prudenti in ogni azione che verrà effettuata durante la visione del sito.
Come una carta di credito, una patente, e molte altre forme di identificazione, un certificato è valido per un periodo di tempo specifico.
&brandShortName; avvisa quando si tenta di visitare un sito web il cui periodo di validità del certificato del server non è ancora cominciato. La prima cosa da fare è assicurarsi che l'ora e la data visualizzate dal proprio computer siano corrette. Se l'orologio del proprio computer ha la data sbagliata, &brandShortName; potrebbe trattare il certificato del server come non ancora valido, anche se non è questo il caso.
Se l'orologio del proprio computer è impostato correttamente, è necessario operare una decisione se ritenere affidabile il sito o meno. Questa decisione dipende da cosa si vuole fare nel sito e quali altre informazioni si hanno su di esso. La maggior parte dei siti commerciali si assicurerà che il periodo di validità dei propri certificati sia iniziato prima di iniziare ad usarli. Se si sceglie di continuare sarà necessario aggiungere una eccezione di sicurezza.
Un certificato di server specifica il nome del server sotto forma di nome di dominio del sito. Per esempio, il nome di dominio del sito di Netscape è home.netscape.com. Se il nome di dominio in un certificato di server non corrisponde al nome di dominio attuale del server, potrebbe essere un segno che qualcuno sta tentando di intercettare le proprie comunicazioni col sito.
&brandShortName; avvisa se si tenta di visitare un sito web il cui dominio del certificato del server non corrisponde al dominio del sito web che si sta cercando di visitare. La decisione di credere o meno comunque al sito dipende da cosa si intende fare sul sito e da cosa si sa di esso. La maggior parte dei siti commerciali si assicureranno che il nome host per il certificato del sito web corrisponda al vero nome host del sito web. Se si sceglie di continuare bisogna aggiungere una eccezione di sicurezza.
Se si decide di accettare comunque il certificato (sia per questa sessione o in modo permanente), bisogna essere cauti riguardo le attività svolte nel sito web, e bisogna trattare ogni informazione ivi trovata come potenzialmente sospetta.