Dettagli sul certificato SSL: funzionamento, selezione dei tipi e guida alla configurazione di HTTPS

Nell’ambiente internet di oggi, la sicurezza dei dati e la protezione della privacy sono diventate fondamentali per il corretto funzionamento dei siti web. I certificati SSL, essendo la tecnologia chiave per raggiungere questi obiettivi, hanno un ruolo molto più importante di quello di semplicemente visualizzare un simbolo a chiave verde nella barra dell’indirizzo del browser. Essi consentono di criptare le comunicazioni e di verificare l’identità delle parti coinvolte, creando così un canale di trasmissione affidabile e sicuro tra il sito web e l’utente.

Che cos’è un certificato SSL/TLS?

Il certificato SSL, più correttamente definito certificato SSL/TLS, è un documento digitale che segue i protocolli SSL (Secure Sockets Layer) e il suo successore TLS (Transport Layer Security). Viene utilizzato per stabilire una connessione crittografata tra un client (ad esempio, un browser) e un server (ad esempio, un sito web). Questa connessione crittografata garantisce che tutti i dati trasmessi in rete (come informazioni personali, numeri di carte di credito, dati di accesso, ecc.) vengano protetti da eventuali intercettazioni o modifiche da parte di terzi.

Il nucleo di un certificato SSL contiene diverse informazioni chiave: la chiave pubblica del titolare del certificato, i dati identificativi del titolare (dominio, nome dell’azienda, ecc.), la firma digitale dell’ente emittente del certificato e la scadenza del certificato stesso. Quando un utente visita un sito web che utilizza un certificato SSL, il browser esegue una serie di procedure complesse chiamate “handshake” con il server per verificare la validità del certificato e scambiare le chiavi di crittografia, al fine di stabilire una connessione HTTPS sicura.

Si consiglia di leggere Guida completa sui certificati SSL: come scegliere, installare e verificare la crittografia di sicurezza di un sito web。

Come funziona il certificato SSL

Il funzionamento del certificato SSL si basa sull’uso della crittografia asimmetrica e delle tecnologie di firma digitale; il processo viene definito “handshake SSL/TLS”. Sebbene questo processo sia completamente trasparente per l’utente, rappresenta la chiave per garantire la sicurezza delle comunicazioni.

Certificato SSL Bluehost

I certificati SSL di BlueHost offrono opzioni di proroga della validità da 1 a 2 anni, supportano gli algoritmi RSA o ECC, hanno una lunghezza della chiave fino a 4096 bit e forniscono una copertura assicurativa fino a 1,75 milioni di dollari.

A partire da $7,49 USD al mese.

Visita il certificato SSL di Bluehost →

Certificato SSL di hosting.com

Certificati SSL DV, OV ed EV convenienti, con crittografia fino a 256 bit, copertura assicurativa da 5 a 1 milione di dollari USA e supporto 24 ore su 24, 7 giorni su 7.

A partire da $2,5 USD al mese.

Visita il sito hosting.com per i certificati SSL →

La combinazione di crittografia asimmetrica e crittografia simmetrica

Il processo di scambio di saluti inizia utilizzando la crittografia asimmetrica. Il server invia al browser il proprio certificato SSL, che contiene la chiave pubblica. Il browser utilizza i certificati di riferimento predefiniti per verificare l’autenticità di tale certificato. Una volta completata la verifica, genera una chiave di sessione casuale e la crittografa utilizzando la chiave pubblica del server, per poi inviarla al server stesso. Solo il server, che possiede la corrispondente chiave privata, è in grado di decifrare questa chiave di sessione. Da quel momento, entrambe le parti utilizzano questa chiave condivisa per comunicare in modo sicuro e efficiente, poiché la crittografia simmetrica è più veloce nell’aggiungere e decifrare grandi quantità di dati.

Dettagliato processo di stretta di mano

Nello specifico, un tipico processo di handshake TLS comprende i seguenti passaggi: il client invia un messaggio “Client Hello”, che contiene la versione TLS e il set di cifre supportati; il server risponde con un messaggio “Server Hello”, selezionando la versione e il set di cifre supportati da entrambe le parti e inviando il proprio certificato SSL; il client convalida il certificato e genera una chiave principale preliminare, che viene crittografata con la chiave pubblica contenuta nel certificato e inviata al server; il server decrittografa la chiave principale preliminare con la propria chiave privata; entrambe le parti generano una chiave principale e una chiave di sessione identiche in base alla chiave principale preliminare; il handshake viene completato e le due parti utilizzano la chiave di sessione per comunicare in modo crittografato simmetrico.

Il cuore dell’autenticazione: la firma digitale

Prima di emettere un certificato, l’ente emittente dei certificati (CA – Certificate Authority) verifica rigorosamente l’identità del richiedente, soprattutto per i certificati di tipo OV (Organizational Validation) ed EV (Extended Validation). Una volta verificata l’autenticità del richiedente, l’CA utilizza la propria chiave privata per firmare digitalmente il contenuto del certificato (inclusi i dati del richiedente e la sua chiave pubblica). I browser affidano fiducia a questo certificato perché credono nella chiave radice dell’CA stessa. Verificando la firma dell’CA, i browser possono essere certi che il contenuto del certificato non sia stato modificato da quando è stato emesso e che sia effettivamente stato emesso da quell’ente.

Come scegliere il tipo di certificato SSL più adatto.

Di fronte alla vasta gamma di certificati SSL disponibili sul mercato, è fondamentale scegliere il tipo più adatto in base alle esigenze del sito web e al livello di sicurezza richiesto. La scelta può avvenire principalmente su due criteri: il livello di verifica e il numero di domini coperti dal certificato.

Si consiglia di leggere Guida completa ai certificati SSL: analisi dettagliata dalla scelta del tipo alla installazione e all’implementazione。

Classificato per livello di validità

I certificati basati sulla verifica del dominio verificano soltanto la proprietà del dominio da parte del richiedente (ad esempio, attraverso l’analisi DNS o la verifica dei file). La procedura di emissione è rapida e i costi sono bassi, rendendoli adatti per siti web personali, blog o ambienti di test.

I certificati di verifica organizzativa, oltre a verificare la proprietà del dominio, controllano anche l’esistenza reale dell’azienda (ad esempio, verificando le informazioni relative all’iscrizione presso l’ufficio commerciale). Il certificato contiene il nome dell’azienda, fornendo così un’identità più affidabile agli utenti; sono quindi adatti per i siti web aziendali e le piattaforme commerciali.

I certificati di tipo Extended Validation (EV) rappresentano il tipo di certificato con i requisiti di verifica più rigorosi e il livello di sicurezza più alto. L’ente emittente dei certificati (CA – Certificate Authority) effettua controlli approfonditi e organizzativi in presenza, al fine di garantire che l’azienda sia legale e conforme alle normative vigenti. Dopo il corretto deployment, il nome dell’azienda viene visualizzato direttamente in verde nella barra degli indirizzi del browser, fornendo all’utente una sensazione di massima fiducia. Questi certificati sono quindi la scelta ideale per siti web che richiedono un elevato livello di affidabilità, come quelli nel settore finanziario o dell’e-commerce.

Certificato SSL di UltaHost.

I certificati DV, EV e OV supportano un importo di garanzia massimo di $1,750,000 USD, consentono l'utilizzo di un numero illimitato di sottodomini, sono compatibili con le app iOS e Android e sono disponibili a partire da 20% al mese, con un costo di $15,95 USD, oltre a una garanzia di rimborso di 30 giorni.

Visita UltaHost.

Classificati in base al numero di nomi di dominio coperti

Un certificato per un singolo dominio protegge esclusivamente quel dominio specifico (ad esempio, www.example.com). www.example.com）。

I certificati con caratteri jolly (wildcards) possono proteggere un dominio principale nonché tutti i sottodomini che ne fanno parte (ad esempio: www.example.com e subdomain1.example.com, subdomain2.example.com). *.example.com Può proteggere blog.example.com， shop.example.com È molto conveniente ed economico quando si gestiscono più sottodomini.

I certificati con più domini consentono di proteggere più domini completamente diversi all’interno di un unico certificato. example.com， example.net， anotherexample.orgAdatto alle aziende che possiedono più marchi o linee di business indipendenti.

Si consiglia di leggere Analisi completa dei certificati SSL: tipi, meccanismo di funzionamento e guida alle migliori pratiche di distribuzione。

Guida alla configurazione e all’implementazione di HTTPS

Dopo aver ottenuto il certificato SSL, una corretta configurazione e distribuzione sono fondamentali per garantirne l’efficacia. Ecco i passaggi di base per configurare HTTPS sui server Web più comuni.

Richiesta e ottenimento di certificati

Innanzitutto, è necessario richiedere un certificato presso un ente emittente di certificati affidabile o il suo rivenditore. Durante il processo, sarà necessario generare una richiesta di firma del certificato (Certificate Signing Request, CSR), che includerà la tua chiave pubblica e le informazioni sull’organizzazione. Dopo aver inviato la CSR, verrà eseguita la verifica del dominio o dell’organizzazione in base al tipo di certificato scelto. Una volta completata la verifica, l’ente emittente di certificati (CA) rilascerà il file del certificato (solitamente in formato PDF o PEM)..crt或.pemFormato) e eventuali file di catena di certificati CA di livello intermedio.

Deploying on an Nginx server

In Nginx, le modifiche alla configurazione avvengono principalmente nel file che contiene i blocchi dei server (server blocks). Gli istruzioni chiave per la configurazione sono… ssl_certificate 和 ssl_certificate_keyÈ necessario posizionare i file del certificato (inclusa la catena di certificati) e il file della chiave privata sul server, specificandone i percorsi nella configurazione. Inoltre, è opportuno abilitare la ascolto della porta 443, selezionare una versione sicura del protocollo TLS (ad esempio disabilitare SSLv3 e utilizzare TLS 1.2 o versioni più recenti), e configurare un set di crittografia robusto. Si consiglia inoltre di impostare una redirect 301 da HTTP a HTTPS per forzare l’utilizzo di connessioni sicure da parte di tutto il traffico.

Deploying on an Apache server

La configurazione del server Apache avviene all’interno dei file relativi ai host virtuali. È necessario utilizzare… SSLCertificateFile L’istruzione specifica la strada del file del certificato da utilizzare. SSLCertificateKeyFile Specifica il percorso del file della chiave privata da utilizzare. SSLCertificateChainFile Indicare il percorso del file che contiene la catena di certificati CA di livello intermedio (se fornito). È necessario anche assicurarsi che il server virtuale ascolti sulla porta 443 e che l’engine SSL sia abilitato. È inoltre possibile impostare le preferenze per il protocollo e il set di crittografia sia a livello globale che per ciascun server virtuale.

Controlli e manutenzione dopo il deployment

Dopo il completamento dell’installazione, è necessario utilizzare strumenti online (come SSL Server Test di SSL Labs) per effettuare un controllo approfondito e valutare la sicurezza delle configurazioni, al fine di verificare l’assenza di vulnerabilità comuni (come Heartbleed, POODLE, ecc.). È fondamentale ricordare la scadenza del certificato (solitamente di un anno) e impostare avvisi per rinnovarlo tempestivamente, in modo da evitare che la scadenza del certificato renda il sito inaccessibile. Inoltre, è importante seguire le ultime notizie riguardanti la sicurezza del protocollo TLS e dei pacchetti di crittografia, aggiornando regolarmente le configurazioni del server per proteggerlo da nuove minacce.

Riassumendo

I certificati SSL sono essenziali per creare un ambiente internet sicuro e affidabile. Essi utilizzano algoritmi di crittografia avanzati e meccanismi di autenticazione rigorosi per stabilire una barriera di sicurezza tra gli utenti e i siti web. Comprendere l’intero processo, dal funzionamento dei certificati alle loro tipologie, fino alla loro configurazione e distribuzione, è di fondamentale importanza per qualsiasi amministratore di siti web, sviluppatore o personale addetto alle operazioni di manutenzione. Una corretta distribuzione e manutenzione dei certificati SSL non solo protegge i dati degli utenti da eventuali attacchi, ma migliora anche l’immagine professionale del sito web e il suo posizionamento nei motori di ricerca, rappresentando quindi una garanzia essenziale per lo sviluppo sostenibile del business.

FAQ - Domande frequenti

Qual è la relazione tra un certificato SSL e HTTPS?

I certificati SSL/TLS rappresentano la base tecnica per l’implementazione del protocollo HTTPS. La “S” in HTTPS sta per “sicurezza”, e indica l’aggiunta di uno strato di crittografia SSL/TLS al protocollo HTTP. Solo quando un sito web è dotato di un certificato SSL valido e configurato correttamente, gli utenti possono stabilire una connessione sicura tramite il protocollo HTTPS. Pertanto, il certificato è una condizione indispensabile per abilitare l’utilizzo di HTTPS.

Qual è la differenza tra i certificati SSL gratuiti e quelli a pagamento?

免费证书（如Let's Encrypt颁发的）通常只提供域名验证，能满足基本的加密需求，适合个人或小型项目。但其有效期较短（多为90天），需要频繁续期，自动化管理是必须的。付费证书则提供更丰富的选择，包括OV和EV验证，提供更高的信任度和更明显的身份标识（如地址栏显示公司名）。付费服务通常附带技术支持、更高的赔付保障和更长的有效期（如一年或两年），更适合商业用途。

L’installazione di un certificato SSL influisce sulla velocità del sito web?

Nella fase iniziale di stabilimento della connessione, nota come “握手”, si verifica un leggero ritardo a causa delle operazioni di crittografia asimmetrica, decrittografia e verifica dei certificati; questo ritardo è solitamente misurato in millisecondi. Tuttavia, una volta stabilita la connessione sicura, l’utilizzo della crittografia simmetrica per il trasferimento dei dati ha un impatto esiguo sulla velocità di comunicazione. Al contrario, i moderni protocolli TLS e le tecnologie di accelerazione hardware (come i load balancer che supportano il protocollo TLS) permettono di ottimizzare ulteriormente le prestazioni. Inoltre, l’attivazione di HTTPS rappresenta un prerequisito per molte tecnologie di ottimizzazione delle prestazioni web moderne (come HTTP/2), le quali possono migliorare notevolmente la velocità di caricamento delle pagine web, compensando o addirittura superando il ritardo legato alla fase di handshake.

Come determinare se la certificazione SSL di un sito web è sicura e valida?

Gli utenti possono capire lo stato della connessione osservando l’icona a forma di chiave nella barra degli indirizzi del browser. Una chiave chiusa indica solitamente che la connessione è crittografata e che il certificato è valido. Facendo clic sull’icona della chiave è possibile visualizzare i dettagli del certificato, tra cui a chi è stato rilasciato, da chi è stato emesso e la sua data di scadenza. Se il certificato è invalido (ad esempio, scaduto, il dominio non corrisponde o l’ente emittente non è affidabile), il browser visualizza un messaggio di avvertimento evidente (ad esempio, un segno di croce rosso sull’icona della chiave o un messaggio che indica “non sicuro”). Per analisi più approfondite, è possibile utilizzare strumenti di verifica online inserendo l’indirizzo web per eseguire un’analisi dettagliata.

Quanti livelli di sottodomini possono essere protetti da un certificato wildcard?

Certificati standard con caratteri jolly (wildcards)*.example.comDi solito protegge soltanto i sottodomini di primo livello. Ciò significa che può garantire la sicurezza di tali sottodomini. blog.example.com、shop.example.com…ma non è in grado di proteggere i sottodomini di livello multipli, ad esempio… dev.blog.example.com（这需要 Si possono utilizzare certificati del tipo `*.*.example.com`, ma questi sono molto rari e non sono ampiamente supportati dai standard. Se è necessario proteggere più sottodomini, di solito è necessario richiedere separatamente un certificato con caratteri jolly (wildcard) per ciascun livello di sottodominio, oppure considerare l’uso di un certificato per più domini per elencare tutti i domini da proteggere.