Che cos’è un certificato SSL? Guida completa per principianti sull’uso dei certificati SSL, con spiegazioni dettagliate sul processo di richiesta e acquisto.

Che cos’è un certificato SSL?

Il certificato SSL, il cui nome completo è “Secure Sockets Layer Certificate”, è oggi più correttamente denominato certificato TLS (Transport Layer Security). Si tratta di un certificato digitale installato sui server web il cui compito principale è quello di stabilire una connessione di rete sicura. Quando si visita un sito web che utilizza un certificato SSL (di solito si riconosce dall’icona a chiave visualizzata nella barra dell’indirizzo del browser e dall’indirizzo web che inizia con “https://”), il certificato crittografa la comunicazione tra il proprio browser e il server del sito web.

Questo meccanismo di crittografia garantisce che tutti i dati trasmessi in rete – come credenziali di accesso, informazioni relative a carte di credito, dati personali o qualsiasi contenuto inviato tramite moduli – vengano trasformati in un insieme di caratteri casuali e illeggibili non appena vengono inviati dal vostro computer al server del sito web. Anche se tali dati venissero intercettati da terze parti durante la trasmissione, senza la chiave corrispondente non sarebbe possibile decifrarli e recuperare le informazioni originali. Questo non solo protegge la segretezza dei dati, ma assicura anche la loro integrità, impedendo che vengano alterati in modo malintenzionato. Inoltre, il certificato SSL svolge la funzione di “carta d’identità elettronica”: viene emesso da un ente terzo affidabile e serve a verificare l’identità effettiva dell’operatore del sito web, aiutando gli utenti a garantirsi che stiano accedendo al sito ufficiale e non a un sito truffaldino.

Comprendere i certificati SSL è una conoscenza essenziale per gli operatori di siti web nel contesto dell’Internet moderno, soprattutto per quelli che si occupano di proteggere la privacy e la sicurezza delle transazioni. Non riguarda soltanto la sicurezza tecnica, ma sta diventando anche una componente fondamentale per le posizioni nei motori di ricerca e per guadagnare la fiducia degli utenti.

Si consiglia di leggere Cos'è un certificato SSL? Analisi completa dei tipi, del funzionamento e della guida all'installazione.。

I principali tipi di certificati SSL sono:

A seconda del livello di verifica, i certificati SSL si dividono principalmente in tre categorie principali, ognuna delle quali offre un livello di sicurezza e autenticazione diverso per i vari tipi di siti web e scenari di utilizzo.

Certificato SSL Bluehost

I certificati SSL di BlueHost offrono opzioni di proroga della validità da 1 a 2 anni, supportano gli algoritmi RSA o ECC, hanno una lunghezza della chiave fino a 4096 bit e forniscono una copertura assicurativa fino a 1,75 milioni di dollari.

A partire da $7,49 USD al mese.

Visita il certificato SSL di Bluehost →

Certificato SSL di hosting.com

Certificati SSL DV, OV ed EV convenienti, con crittografia fino a 256 bit, copertura assicurativa da 5 a 1 milione di dollari USA e supporto 24 ore su 24, 7 giorni su 7.

A partire da $2,5 USD al mese.

Visita il sito hosting.com per i certificati SSL →

DV SSL Certificato (Domain Validation)

Questo è il tipo di certificato SSL più basilare e veloce da emettere (di solito si completa in pochi minuti). L’ente emittente del certificato verifica soltanto la proprietà del dominio da parte del richiedente, ad esempio se si possiede il controllo su “example.com”. Il processo di verifica avviene solitamente inviando un’e-mail di conferma all’indirizzo email registrato nel registro WHOIS del dominio o aggiungendo un record TXT specifico nel sistema di risoluzione dei nomi di dominio.

Questo tipo di certificato fornisce soltanto funzionalità di crittografia per la trasmissione dei dati di base e non verifica l’identità reale dell’azienda che ne richiede l’emissione; pertanto, nella barra degli indirizzi del browser viene visualizzato soltanto un simbolo a chiave e la dicitura “sicuro”. È particolarmente adatto per blog personali, siti web espositivi e altre situazioni in cui non è necessario mostrare informazioni sull’identità dell’azienda.

Certificato SSL OV (Organizational Validation)

I certificati di verifica organizzativa offrono un livello di sicurezza più elevato rispetto ai certificati DV. L’ente emittente del certificato non si limita a verificare la proprietà del dominio, ma esamina anche in modo approfondito l’autenticità dell’azienda richiedente, includendo informazioni come il nome dell’azienda, l’indirizzo reale e lo stato legale. Questo processo di verifica richiede solitamente da 1 a 3 giorni lavorativi.

Dopo il corretto deployment del certificato OV, esso conterrà informazioni aziendali verificate. Gli utenti possono visualizzare i dettagli dell’azienda che gestisce il sito web cliccando sul simbolo a chiave presente nel browser. Questo tipo di certificato è adatto per i siti web aziendali e le piattaforme di e-commerce, rappresentando una scelta ideale per costruire fiducia tra gli utenti commerciali.

Si consiglia di leggere Analisi completa dei certificati SSL: tipi, meccanismo di funzionamento e guida alle migliori pratiche di installazione e distribuzione。

EV SSL Certificate (Extended Validation)

Si tratta del tipo di certificato SSL con il livello di verifica più elevato e gli standard di sicurezza più rigorosi; inoltre, il processo di emissione è estremamente rigoroso. Oltre a controlli rigorosi sull’identità del titolare del dominio e sull’esistenza effettiva dell’entità aziendale, l’emittente del certificato (CA – Certificate Authority) effettua ulteriori indagini di verifica in base a standard internazionali. Ottenere un certificato EV richiede solitamente diversi giorni lavorativi.

Dopo l’installazione del certificato EV, la caratteristica più evidente è che la barra degli indirizzi del browser diventa di colore verde; in alcuni browser viene inoltre evidenziato il nome dell’azienda che ha effettuato la verifica del certificato. Questo permette agli utenti di riconoscere immediatamente i siti web ufficiali di elevata affidabilità, aumentando notevolmente la loro fiducia. Si tratta di un importante indicatore di sicurezza utilizzato da banche, istituti finanziari, grandi piattaforme di e-commerce e tutti i siti che gestiscono transazioni sensibili.

Perché il tuo sito web ha bisogno di un certificato SSL?

L’implementazione dei certificati SSL è passata da un “elemento vantaggioso” a una “condizione indispensabile”, e la sua importanza si manifesta principalmente in diversi aspetti.

Certificato SSL di UltaHost.

I certificati DV, EV e OV supportano un importo di garanzia massimo di $1,750,000 USD, consentono l'utilizzo di un numero illimitato di sottodomini, sono compatibili con le app iOS e Android e sono disponibili a partire da 20% al mese, con un costo di $15,95 USD, oltre a una garanzia di rimborso di 30 giorni.

Visita UltaHost.

Dal punto di vista della sicurezza, questa rappresenta la prima linea di difesa contro le perdite di dati. I siti web che non sono protetti da SSL trasmettono i dati in chiaro, rendendoli facilmente esposti a attacchi da parte di terzi (intercettori), con il rischio che vengano rubate informazioni sensibili come le password degli utenti e i record delle transazioni. L’criptografia SSL/TLS garantisce la privacy delle comunicazioni.

Dal punto di vista della fiducia e dell’immagine del marchio, i browser più diffusi di oggi (come Chrome e Edge) contrassegnano i siti web HTTP che non dispongono di certificati SSL come “non sicuri”, il che influisce negativamente sulla volontà degli utenti di accedervi e di effettuare transazioni. I siti web HTTPS, invece, che presentano un simbolo a forma di chiave verde o il nome dell’azienda, trasmettono un’immagine di professionalità, sicurezza e affidabilità, aumentando così i tassi di conversione.

Dal punto di vista dell’impatto sul posizionamento nei motori di ricerca (SEO), motori di ricerca mainstream come Google hanno chiaramente definito “HTTPS” come un segnale positivo per il posizionamento. I siti web che possiedono un certificato SSL hanno un vantaggio nel ranking rispetto ai siti HTTP, sotto condizioni equivalenti, il che significa un maggior flusso di traffico naturale.

Si consiglia di leggere Che cos’è un certificato SSL? Spiegazione dettagliata del suo funzionamento, dei tipi disponibili e delle linee guida per il suo deployment.。

Inoltre, molte tecnologie web moderne, come il protocollo HTTP/2 e Service Worker (utilizzato per i Progressive Web Applications, PWA), richiedono che i siti web forniscano i propri servizi tramite HTTPS. Pertanto, per ottenere le migliori prestazioni e funzionalità del sito, è necessario abilitare anche la certificazione SSL.

Come richiedere e acquistare un certificato SSL?

La richiesta e il deployment di un certificato SSL seguono un processo sistematizzato; seguire i passaggi indicati di seguito permetterà di completare l’operazione con successo.

1. Generare una CSR (Request for Certificate Signing): Questo è il primo passo da eseguire sul server su cui si intende installare il certificato. Durante la generazione della CSR vengono creati una coppia di chiavi: una chiave privata, che deve essere mantenuta rigorosamente segreta e che rimarrà sempre sul server; l’altra è il file CSR stesso, che contiene il dominio, le informazioni dell’azienda (se applicabili) e la chiave pubblica. Questo processo avviene solitamente tramite il pannello di gestione del server (ad esempio, il modulo SSL/TLS di cPanel) o utilizzando strumenti da riga di comando (come OpenSSL).

2. Scegli il tipo di certificato e il fornitore, quindi invia la richiesta: In base alla natura del tuo sito web (personale, aziendale, e-commerce, ecc.), seleziona il tipo di certificato più adatto (DV, OV, EV). Puoi acquistarlo direttamente presso istituti emettitori di certificati di fama mondiale, oppure tramite provider di servizi cloud, registri di domini o fornitori di hosting. Al momento di inviare la richiesta, è necessario compilare correttamente le informazioni richieste nel CSR (Certificate Signing Request) e scegliere il metodo di verifica.

3. Completare la verifica del dominio o dell’organizzazione:
Per i certificati DV: seguire le indicazioni dell’emittente del certificato (CA), ricevere il link di verifica via e-mail e cliccare per confermare l’operazione, oppure aggiungere i record CNAME o TXT specificati nella gestione DNS del dominio.
Per i certificati OV/EV: oltre alla verifica del dominio, è necessario inviare alla CA (Certification Authority) documenti legali come la licenza di attività, e potrebbe essere richiesto di rispondere a telefonate di verifica. L’intero processo è piuttosto rigoroso.

4. Emissione e installazione del certificato: Una volta completata la verifica, l’CA invierà via e-mail il file del certificato emesso (solitamente in formato .crt o .pem). Dovrai accedere alla pagina di gestione del server web, trovare la sezione relativa all’installazione del certificato SSL, inserire il contenuto del file del certificato ricevuto nonché il contenuto del file della chiave privata generata inizialmente nei rispettivi campi e salvare i cambiamenti. A volte potrebbe essere necessario anche installare i certificati intermedi forniti dall’CA per garantire l’integrità della catena di fiducia.

5. Test e verifica: Dopo l’installazione, accedi al tuo sito web HTTPS tramite un browser e verifica se nella barra degli indirizzi viene visualizzato il simbolo della chiave di sicurezza. Puoi utilizzare strumenti di verifica SSL online, come l’SSL Server Test di SSL Labs, per valutare complessivamente la configurazione SSL e ottenere un punteggio, al fine di assicurarti che non ci siano errori di configurazione o vulnerabilità di sicurezza.

Riassumendo

I certificati SSL rappresentano la base fondamentale per costruire sicurezza e fiducia su Internet. Essi proteggono efficacemente la privacy degli utenti e i dati dei siti web attraverso l’encrittazione dei dati trasmessi. Dalla semplice verifica del dominio web alla verifica avanzata per le aziende, esistono diversi tipi di certificati SSL in grado di soddisfare le esigenze di sicurezza e fiducia a vari livelli, sia per individui che per imprese. L’installazione di un certificato SSL sui siti web non è solo una misura tecnica essenziale per prevenire gli attacchi informatici, ma rappresenta anche una condizione indispensabile per aumentare la fiducia degli utenti, migliorare le posizioni nei motori di ricerca e sfruttare al meglio le tecnologie web moderne. Comprendere e implementare correttamente i certificati SSL è una competenza fondamentale che ogni proprietario e sviluppatore di siti web deve possedere per garantire il corretto funzionamento delle proprie attività online.

FAQ - Domande frequenti

I certificati SSL devono essere rinnovati annualmente.

Sì, la stragrande maggioranza dei certificati SSL ha una scadenza, solitamente di un anno o più. Per motivi di sicurezza, organizzazioni di standard del settore come i forum CA/B non raccomandano l’emissione di certificati con scadenze troppo lunghe. È necessario rinnovare il certificato e richiederne la rilascio prima della scadenza; in caso contrario, il sito tornerà a utilizzare connessioni HTTP non sicure e appariranno avvisi di sicurezza.

Un certificato può essere utilizzato per più domini?

Sì. Per le esigenze relative a più nomi di dominio, esistono due tipi principali di certificati. I certificati multi-dominio consentono di proteggere più nomi di dominio completamente diversi all'interno di un unico certificato. I certificati wildcard, invece, consentono di proteggere un nome di dominio principale e tutti i suoi sottodomini di primo livello. Ad esempio, un certificato wildcard emesso per “*.example.com” può essere utilizzato per “www.example.com”, “shop.example.com”, “mail.example.com” e così via.

Let's Encrypt 免费证书和付费证书有什么区别？

Let's Encrypt提供了自动化的免费DV证书，对于个人和小型项目来说是一个极佳的选择。它与付费DV证书在加密强度上是相同的。

La principale differenza risiede nel seguente aspetto: i certificati gratuiti hanno una validità di soli 90 giorni e richiedono l’installazione di script per la rinnovazione automatica al fine di garantire la continuità del servizio; di solito vengono forniti solo supporti tecnici di base; inoltre, offrono soltanto un livello di verifica del dominio. I certificati a pagamento, invece, dispongono di una validità più lunga (ad esempio un anno), supporto tecnico avanzato, garanzie legali, nonché livelli di certificazione più elevati (OV ed EV) che permettono di verificare l’identità dell’azienda, rendendoli adatti per utilizzi commerciali.

Il browser mostra un avviso di “insecure” (non sicuro), ma il mio certificato è stato installato. Cosa devo fare?

Questo solitamente indica la presenza di un problema noto come “contenuto misto” (mixed content). Sebbene la pagina principale del sito venga caricata tramite HTTPS, all’interno della pagina vengono utilizzati elementi (immagini, script JavaScript, fogli di stile CSS) che invece vengono caricati tramite il protocollo HTTP. Per motivi di sicurezza, il browser considera l’intera pagina non sicura.

La soluzione consiste nell’utilizzare gli strumenti di sviluppo del browser (solitamente attivabili premendo il tasto F12) e selezionare la scheda “Console” o “Rete”. In questa finestra, è possibile individuare tutti i file che vengono caricati tramite HTTP e modificare i relativi link in modo che puntino a HTTPS oppure utilizzino il protocollo dei percorsi relativi. Assicurarsi che tutti i file del sito vengano caricati tramite HTTPS.