34816 Letture

Posta elettronica in sicurezza con il certificato digitale in regalo per i nostri lettori

La posta elettronica, di per sé, non è uno strumento sicuro per lo scambio di informazioni. Le e-mail, infatti, transitano attraverso un canale di comunicazione, qual è la rete Internet, di per sé assolutamente insicuro.

MIME è l'acronimo di Multipurpose Internet Mail Extensions e fissa uno standard per il formato di un messaggio di posta elettronica. Ogni messaggio inviato attraverso un server SMTP è considerabile come in formato MIME. Le varie parti di un'e-mail ed, in particolare, le indicazioni MIME inserite al suo interno, specificano, ad esempio, il formato con cui viene inviato il messaggio (solo testo o html), la codifica utilizzata, eventuali allegati e così via. Per l'invio di messaggi "sicuri" il cui contenuto non possa essere letto se non dal reale destinatario, si fa ricorso al formato S/MIME. Sviluppato da RSA Data Security, S/MIME fornisce la possibilità di autenticare, verificare l'integrità, garantire il non ripudio (utilizzando la firma digitale) e proteggere il messaggio (utilizzando la crittografia) trasmesso in Rete.

L'impiego S/MIME permette, ad esempio, di "certificare" l'intero contenuto del messaggio che si invia, consente di trasmettere comunicazioni a qualunque tipo di indirizzo e-mail, è interoperabile con qualsiasi sistema ed è valido in tutto il mondo. Inoltre, l'uso di un certificato S/MIME consente di fidare su di una soluzione che garantisce massima portabilità ed in più è in grado di permettere la protezione del contenuto del messaggio grazie all'utilizzo della crittografia.


Per scambiarsi messaggi di posta elettronica utilizzando il formato S/MIME, i corrispondenti (mittente e destinatario) necessitano di una certification authority ("CA") che compie diversi controlli sull'identità del richiedente quindi emette un certificato digitale che potrà essere utilizzato, per un certo periodo di tempo, per scambiare messaggi di posta elettronica in modo sicuro. Il sistema che viene adottato nelle comunicazioni è la ben nota soluzione crittografica a chiave pubblica (o “asimmetrica”): una chiave viene cioé inserita all'interno del certificato (“pubblica”) mentre l'altra, collegata alla chiave pubblica, deve restare assolutamente segreta e conservata con cura da parte dell'utente (“chiave privata”).

Come abbiamo più volte sottolineato, due utenti che desiderino scambiarsi e-mail cifrate possono creare autonomamente un certificato digitale senza interpellare una certification authority. E' possibile farlo, ad esempio, ricorrendo ad applicazioni quali GnuPG o Gpg4Win (ved. questo nostro articolo). La CA si configura tuttavia come una "terza parte" che attesta l'identità di un utente e che è abilitata a rilasciare certificati digitali dotati di tutti i crismi dell'ufficialità. La CA, insomma, gode della "fiducia" di tutte le parti coinvolte nella comunicazione.

A beneficio di tutti i nostri lettori, in collaborazione con la CA italiana Globaltrust, offriamo la possibilità di generare un proprio certificato digitale per iniziare ad inviare e-mail in modo sicuro (firmate digitalmente ed eventualmente anche crittografate).

Come richiedere il certificato digitale

Per richiedere alla CA Globaltrust il proprio certificato digitale è sufficiente registrarsi facendo riferimento a questa pagina inserendo i propri dati anagrafici ed una password adeguatamente complessa.
Per motivi tecnici legati alla generazione di un certificato perfettamente valido, è necessario effettuare l'intera procedura dallo stesso personal computer ricorrendo sempre al medesimo browser web (Microsoft Internet Explorer oppure Mozilla Firefox).

Noi abbiamo effettuato la procedura di richiesta con Mozilla Firefox: dopo aver visitato l'apposita pagina e debitamente compilato tutti i campi, cliccando sul pulsante Accetto, in basso, Firefox ha mostrato per qualche istante il messaggio seguente:


Al termine di questa fase, è importante annotare il numero d'ordine visualizzato nella finestra successiva: sarà indispensabile al passo n°2.



Dopo aver effettuato le verifiche del caso, Globaltrust invierà un'e-mail all'indirizzo di posta elettronica specificato all'atto della richiesta del certificato: il messaggio contiene un link da seguire per provvedere all'installazione automatica del certificato personale sul proprio sistema.
La procedura di richiesta ed attivazione del certificato digitale va effettuata utilizzando il medesimo browser web, sullo stesso personal computer utilizzato per il passo precedente.
Visitando il link presente nell'e-mail ricevuta (è questo), si dovrà indicare, negli appositi campi, il numero dell'ordine e la password precedentemente scelta.


Dopo aver cliccato sul pulsante Conferma, nella pagina successiva, si dovrà inserire il lungo codice alfanumerico ricevuto per e-mail. Per evitare errori, suggeriamo di effettuare un copia&incolla dal corpo dell'e-mail alla casella visualizzata nel browser web.

Cliccando su Conferma, dopo qualche istante di attesa, comparirà il messaggio seguente:.

Il certificato personale così richiesto consentirà di codificare e firmare digitalmente i propri messaggi di posta elettronica garantendo riservatezza, confidenzialità, autenticità, integrità e non ripudio delle comunicazioni trasmesse.
GlobalTrust (o comunque la CA che emette il certificato) provvede a fornire all'utente facente richiesta, un certificato contenente l'identificativo dell'algoritmo crittografico usato, un numero di serie, la firma digitale, il nome della CA, le informazioni riguardanti la validità ed una chiave pubblica. Questo insieme di informazioni identifica colui che ha richiesto il certificato come unico possessore ed utilizzatore dello stesso.


Il certificato S/MIME appena generato sarà aggiunto tra quelli conservati da parte del browser web. E' consigliabile provvedere a salvare il certificato sul disco fisso in modo che possa essere facilmente impiegato, per esempio, con un qualsiasi client di posta elettronica. Il certificato può essere memorizzato sotto forma di file con estensione .pfx: tale file non dovrà, per nessun motivo, essere trasmesso a terzi dato che contiene anche la propria chiave privata.

Nel caso si sia richiesto il certificato da Internet Explorer, questo potrà essere salvato su disco in formato .pfx avviando il browser di Microsoft, cliccando sul menù Strumenti, Opzioni Internet quindi su Contenuto. Facendo riferimento al pulsante Certificati quindi selezionando il proprio certificato S/MIME dalla scheda Personale ed infine premendo Esporta..., si potrà produrre il file .pfx.

Qualora, invece, si fosse utilizzato Firefox, la procedura di esportazione del certificato S/MIME si concretizza cliccando sul menù Strumenti, Opzioni del prodotto, accedendo alla scheda Avanzate, cliccando su Cifratura ed infine sul pulsante Mostra certificati.
Selezionando la scheda Certificati personali, si noterà la presenza del certificato appena generato ed ottenuto da Globaltrust.

Per esportare il certificato, bisogna cliccare su Salva, indicare la cartella di destinazione ed un nome per il file che sarà memorizzato con estensione .p12 (PKCS12). Firefox richiede di definire anche una password a protezione della copia di backup del certificato.

In tutte le fasi di esportazione ed importazione del certificato S/MIME verrà sempre richiesta la password scelta a protezione del file: mai dimenticarla.


Per inviare messaggi crittografati è sempre necessario possedere il certificato del proprio interlocutore. Come primo passo, quindi, è bene inviarsi a vicenda un semplice messaggio di posta elettronica sul quale sia apposta la propria firma digitale. Così facendo, i client di posta "immagazzineranno" automaticamente il certificato altrui.


  1. Avatar
    alammesbaul
    06/09/2015 15:50:12
    io voglie Posta elettronica in sicurezza con il certificato.
  2. Avatar
    Freddy
    30/12/2010 12:21:13
    Ho notato che la firma digitale funziona solo con la email che si è inserita in fase di richiesta, è possibile chiederne una anche x altra email? Altra domanda, credo di avere capito che la PEC ha caratteristiche legali solo fra Persone o Enti che usano la PEC, la firma digitale ha valore legale anche se io la invio a persone o enti che non utilizzano email con il certificato digitale e se la risposta è si visto che non posso criptarla continua ad avere valore legale? Probabilmente le risposte le trovo nel libro di Massimo Penco, che ringrazio per averlo reso disponibile gratuitamente, ma sono ancora lontano da averlo letto tutto.
  3. Avatar
    Massimo Penco
    28/12/2010 14:54:58
    @Luca C: I principi basilari su cui si basa in tutto il mondo la comunicazione in genere ed in particolare i sistemi di posta elettronica sono quelli di trasmettere uno o più documenti allegati o meno ad un messaggio e farli arrivare integri al destinatario. L’unico sistema usato in tutto il mondo per garantire che questo avvenga è il protocollo s-mime che consente di far arrivare un messaggio integro e garantire il non ripudio della ricezione dello stesso da parte del destinatario, qualora vengano usate determinate accortezze nell’invio e ricezione del messaggio oltre che dei suoi allegati. Si può poi attivare l'invio dei messaggi e degli eventuali allegati in forma criptata al fine di garantirne la riservatezza. S-mime, inoltre, possiede un'altra essenziale ed indispensabile caratteristica ovvero è interoperabile e compatibile con altri sistemi. Come il sistema postale internazionale garantisce che una normale lettera/raccomandata venga recapitata in qualsiasi paese del mondo, così fa s-mime con i messaggi di posta elettronica portando con sé, però, numerosi altri evidenti vantaggi. Una cosa è parlare della procedura di autenticazione di Globaltrust (comune, del resto, ad altri provider, anche di PEC), un'altra della procedura per l'utilizzo della CEC PAC (Comunicazione Elettronica Certificata verso la Pubblica Amministrazione) italica che costringe gli interessati a richiedere il servizio recandosi fisicamente presso un ufficio postale (dopo aver compilato un modulo online). La differenza sostanziale tra i due sistemi è intanto quello che la PEC-CEC-PAC è una casella di posta elettronica e non un indirizzo certificato di Posta elettronica che mi sembra differenza non da poco. All’utente viene consegnata una password per accedere alla propria casella di posta né più e né meno come quella che si prende con uno dei vari provider Gmail, Hotmail od altro. Una legge Italiana e non una tecnologia hanno fatto sì che questo sistema venga riconosciuto SOLO in Italia con lo stesso valore legale di una raccomandata e come una raccomandata garantisce che una busta “busta di trasporto” venga inoltrata e ricevuta con determinate caratteristiche che in finale la rendono per certi effetti diversa dalla raccomandata fisica come è intuibile. Non viene quindi garantito il contenuto della “busta di trasporto” la stessa come per la raccomandata cartacea può contenere solo quello che il mittente ha inserito. Tornando all’autenticazione la sua giusta osservazione vale ancor di più per la PEC-CEC-PAC. Chiunque infatti utilizzando la password affidata all’utente autenticato personalmente dall’ufficio postale o dal gestore di PEC può non solo inviare messaggi ma accedere all’intera casella postale del soggetto e fare quello che gli pare (non sto qui a dilungarmi su come l’utente potrà molto meglio proteggere il suo certificato s-mime, troverà maggiori informazioni sul mio libro). L’autenticazione e validazione fatta da Globaltrust è perfettamente legale non solo in Italia ma in tutto il mondo. Se legge attentamente il modulo da compilare per la concessione del certificato s-mime vedrà che fa riferimento ad alcune precise disposizioni italiane ma anche internazionali relative alle autodichiarazioni. Le riporto con i relativi link ai testi di legge: "AUTENTICAZIONE E VALIDAZIONE Nel rapporto tra privati il riconoscimento della validità dell'autocertificazione resta a discrezione del privato che richiede il certificato o documento/auto-dichiarazione, ai sensi della Legge 24 novembre 2000, n. 340 nonché D.P.R. n. 445/2000 in particolare l’art. 2,76 “Le norme concernenti i documenti informatici e la firma digitale, contenute nel capo II, si applicano anche nei rapporti tra privati come previsto dall'articolo 15, comma 2 della legge 15 marzo 1997, n. 59.e successivi provvedimenti e modificazioni, ribaditi dall’ art. 495-bis e 640-quinquies del Codice Penale." Non solo ma essendo questo un problema comune, l’Italia ha aderito anche se dopo sei anni alla convenzione di Budapest anch’essa riportata come comminatoria di legge nel modulo che commina pene molto gravi a coloro che dichiarano il falso a certificatori. Del resto la possibilità in finale di avere due sistemi di posta Elettronica in Italia è stato ribadito dalla stessa legge, debbo dire dopo una denuncia presentata all’Unione Europea da parte dell’Associazione Cittadini di Internet. Ecco il testo della norma anch’essa chiaramente indicata nel modulo GlobalTrust Nella legge 28-01-2009 n° 2 art. 16/6 e successive modificazioni. "(...) o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrita' del contenuto delle stesse, garantendo l'interoperabilita' con analoghi sistemi internazionali". In virtù di ciò Globaltrust ed altre Certification Authority non hanno bisogno di essere nella lista del Digitpa e del resto in base al CAD Codice dell’Amministrazione digitale non ne avevano bisogno neanche prima. Fra l’altro proprio in questi giorni è stato completamente rifatto proprio il CAD che ovviamente ha chiarito alcuni punti tra cui quelli di cui ho parlato rendendo il sistema più aderente alle direttive comunitarie e l’uso internazionale delle comunicazioni. Spero che questa mia lunga risposta le sia stata utile potrà trovare maggiori informazioni sul mio Libro La Posta Elettronica distribuito gratuitamente da IlSoftware.it.
  4. Avatar
    Massimo Penco
    28/12/2010 11:25:43
    @tenet4: L'inserimento del conto bancario è solo ed esclusivamente per i certificati a pagamento, sicuramente non per i gratuiti infatti alla fine della compilazione del modulo non viene richiesto nulla.
  5. Avatar
    Luca C
    27/12/2010 15:50:24
    Mi pare di capire che alcuni concetti sull'uso "pratico" di questo sistema non siano chiarissimi. Quale dovrebbe essere il principale vantaggio sull'uso di questo certificato? Il certificato dell'articolo garantisce che la persona che ha firmato il messaggio sia effettivamente quello che dice di essere? Se si, allora la procedura illustrata di registrazione presso GlobalTrust non è completa (manca l'identificazione personale). Se no, allora l'affermazione che la CA "attesta l'identità di un utente" non è corretta, perchè può garantire solo che il messaggio è stato firmato da qualcuno che utilizza l'indirizzo di posta elettronica. Piccolo esempio: posso aprire una casella di posta elettronica gratuita Silvio.Berlusconi@libero.it (nessuno controlla che sia il mio vero nome), posso creare un certificato di firma digitale associato e utilizzarlo. C'è garanzia sulla mia identità? risposta: NO. Quali vantaggi ci sono tra l'uso del certificato S/mime proposto e l'uso di PGP? La praticità? Guardando il sito di GlobaTrust, non mi pare sia neanche accreditato presso il DigitPA (l'ente che ha sostituito il CNIPA). Vediamo la PEC: una PEC Certifica la mia identità? Risposta: SI, perchè per attivarla devo identificarmi con documento di identità, le credenziali di accesso mi vengono consegnate personalmente e ne divento l'unico responsabile (certo: a menochè non perdo o mi vengono sottratte le credenziali stesse, di cui sono comunque responsabile...). La PEC certifica la consegna del messaggio? Si. La PEC garantisce il contenuto del messaggio? No, per questo è necessaria la firma digitale (smartcard, token, bbf, ecc) rilasciata sempre a parte. La PEC ha riconoscimento legale in Italia? SI. e il certificato GlobalTrust? (a me non sembra) Riassumento: GlobalTrust si pone a metà tra il PGP e la PEC, fa quello che fa PGP, ma non può valere in Italia come la PEC (forse all'estero?), nei prossimi 3 anni sicuramente in Italia la PEC non sarà abbandonata. Quindi chiedo: qual'è l'utilità pratica di questo certificato GlobalTrust?
  6. Avatar
    tenet4
    26/12/2010 12:25:27
    Perché è necessario immettere anche il proprio "Bank Account" come specificato al Punto "REGISTRATION" delle "TERMS AND CONDITIONS" ? "REGISTRATION A. In order to use the GCSE/GPSE, you must: (a) provide certain current, complete, and accurate information about the USER and/or (including, without limitation, bank account information) on the Registration Form;"
  7. Avatar
    Michele Nasi
    22/12/2010 20:03:42
    No, il servizio è e resterà gratuito. E' il certificato che, come indicato nell'articolo, ha validità di 12 mesi. Trascorsi i 12 mesi il certificato S/MIME scadrà e si dovrà provvedere a richiederne un altro. La CA assicura che il rinnovo è assolutamente gratuito.
  8. Avatar
    shardana1974
    22/12/2010 19:18:32
    Salve, volevo sapere se il servizio ha validità limitata. Nello screenshot dell'esempio c'è scritto "Validità 12 mesi", concluso questo periodo il servizio diventa a pagamento? Grazie in anticipo dell'eventuale risposta
  9. Avatar
    grillo1939
    22/12/2010 12:01:04
    Ciao Michele, ti ringrazio per la precisazione. Appena trovo un po di tempo faccio la prova nel pc di mio nipote che uso come muletto. grazie e http://www.iouppo.com/life/1012/b94e452b2d670b1b48305ec31776b8e7.jpg
  10. Avatar
    Michele Nasi
    22/12/2010 09:11:30
    Benvenuto! I certificati S/MIME sono utilizzabili con qualunque client di posta elettronica. Verifica comunque se, all'interno del tuo client e-mail, c'è la possibilità di importare certificati S/MIME. Appena possibile effettuerò anch'io una verifica.
Posta elettronica in sicurezza con il certificato digitale in regalo per i nostri lettori - IlSoftware.it