Verifica della validità di un certificato su computer

Quando un'applicazione riceve da Internet contenuto con firma digitale o protetto, come nel caso di un sito web protetto mediante HTTPS o di un software con firma digitale, deve verificare che il certificato usato per proteggere tale contenuto, come un certificato SSL o di firma dei codici, sia valido.

Le applicazioni, come i browser web e i sistemi operativi, convalidano i certificati utilizzando le liste di revoca dei certificati (CRL) o l'Online Certificate Status Protocol (OCSP).

Metodi di verifica

Le applicazioni usano due diversi metodi di verifica per controllare la validità di un certificato digitale:

Liste di revoca dei certificati (CRL) — Una CRL è un elenco di certificati revocati. Le applicazioni che usano le CRL per verificare automaticamente i certificati scaricano l'intero file CRL e controllano lo stato del certificato confrontando l'elenco. Se il certificato risulta revocato ed è elencato in una CRL, l'applicazione non lo dovrebbe ritenere affidabile.

Online Certificate Status Protocol (OCSP) — Il servizio OCSP si basa su query. Le applicazioni che usano OCSP verificano lo stato di un certificato senza dover scaricare una CRL. La risposta offerta da OCSP può essere "valido" o "revocato".

Il grafico che segue offre una linea guida relativa a come le applicazioni e i sistemi operativi più comuni verificano i certificati. Tuttavia, alcune applicazioni o sistemi operativi potrebbero essere configurati per procedere in modo diverso.

Sono i fornitori del software a determinare il metodo di convalida. L'autorità di certificazione non ha alcun controllo sulla modalità di convalida dei certificati.

Windows® 2000 Windows XP / Windows Server 2003 Windows Vista Windows 7 / Windows Server 2008 Mac® OS X
Internet Explorer® CRL CRL Prima OCSP; viene usato CRL se OCSP non è disponibile Prima OCSP; viene usato CRL se OCSP non è disponibile N/A
Firefox® OCSP OCSP OCSP OCSP OCSP
Safari® N/A CRL Prima OCSP; viene usato CRL se OCSP non è disponibile Prima OCSP; viene usato CRL se OCSP non è disponibile Prima OCSP; viene usato CRL se OCSP non è disponibile
Chrome N/A CRL Prima OCSP; viene usato CRL se OCSP non è disponibile Prima OCSP; viene usato CRL se OCSP non è disponibile Prima OCSP; viene usato CRL se OCSP non è disponibile
Opera® OCSP e CRL OCSP e CRL OCSP e CRL OCSP e CRL OCSP e CRL
Certificato di firma dei codici di verifica CRL CRL Prima OCSP; viene usato CRL se OCSP non è disponibile Prima OCSP; viene usato CRL se OCSP non è disponibile Prima OCSP; viene usato CRL se OCSP non è disponibile

Accesso a CRL e ai servizi OCSP

Le CRL e OCSP usano HTTP per recuperare informazioni dai seguenti server. Se sei l'amministratore di rete della tua organizzazione, assicurati che tutti i computer della rete che possono incontrare un certificato digitale rilasciato da noi possano accedere a queste CRL e a questi servizi OCSP.

Servizio Nomi host DNS IP di destinazione Porta
CRL crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com
72.167.18.237
72.167.18.238
72.167.239.237
72.167.239.238
188.121.36.237
188.121.36.238
182.50.136.237
182.50.136.238
50.63.243.228
50.63.243.229
tcp/80
OCSP ocsp.godaddy.com
ocsp.starfieldtech.com
72.167.18.239
72.167.239.239
188.121.36.239
182.50.136.239
50.63.243.230
tcp/80

Questa tabella potrebbe subire modifiche nel corso del tempo, con l'ampliarsi dei nostri servizi.


Questo articolo è stato di aiuto?
Grazie per il tuo feedback
Felici di esserti stati di aiuto! C'è altro che possiamo fare per te?
Ci dispiace. Come possiamo esserti più utili?