Certificato SSL: definizione, validità e costi

Indice

Un certificato SSL è un file digitale che conferma l’identità di un sito web e permette una connessione crittografata tra server e browser. Protegge dati riservati come le password dall’accesso di terzi. I siti web con certificato SSL si riconoscono per la parte “https” nell’URL e per l’icona a forma di lucchetto nel browser.

Certificato SSL

Proteggi il tuo sito con un certificato SSL

Evita che venga visualizzata un'allerta nella barra degli indirizzi e ottieni la fiducia dei clienti con un sito crittografato tramite SSL.

Che cos’è un certificato SSL?

I moderni certificati SSL non operano più con il vecchio protocollo SSL (Secure Sockets Layer), ma utilizzano il più recente e sicuro TLS (Transport Layer Security). In pratica però, la maggior parte delle volte si continua ancora a parlare di certificati SSL quando ci si riferisce ai a una protezione del sito e del server con le tecniche di crittografia. Il certificato in sé è un semplice record di dati: in un file sono contenute numerose informazioni, come ad esempio il nome dell’emittente, il numero di serie o la cosiddetta impronta digitale per la crittografia. I certificati sono disponibili in diversi formati di file e devono essere installati sul server per l’utilizzo.

Per ottenere un certificato, i gestori di un sito devono rivolgersi a un’autorità di certificazione. Queste organizzazioni sono appunto autorizzate a fornire un certificato SSL, di solito dietro pagamento. Ma perché non si può semplicemente costituire una propria organizzazione? Il motivo è che questi certificati devono essere accettati anche dai produttori dei browser, come ad esempio Microsoft, Mozilla o Google, altrimenti il certificato emesso non avrebbe alcuna validità.

Per quanto tempo è valido un certificato?

Un certificato accettato dai browser non è mai valido per sempre: ogni certificato SSL ha la propria data di scadenza, che si attesta tra i 1 e 13 mesi. Entro il 2029, i certificati SSL potranno essere validi per un massimo di 47 giorni. Una volta raggiunta la scadenza, i gestori dei siti web dovranno sostituire e rinnovare i loro certificati SSL non più validi, altrimenti le relative pagine non saranno più considerate particolarmente sicure. Anche se il rinnovo regolare dei certificati può essere sia dispendioso in termini di tempo che di costi, è comunque necessario. Solo se le autorità di autenticazione controllano regolarmente l’integrità, l’identità e i meccanismi di cifratura utilizzati è possibile garantire la sicurezza degli utenti.

Fatto

Nei certificati SSL è specificato il periodo di validità del certificato, quindi non solo la fine della validità, ma anche l’inizio.

Certificato SSL: come funziona la crittografia?

Ci sono diverse possibilità per crittografare un trasferimento di dati. Di norma è necessaria una chiave per crittografare qualcosa ed esattamente la stessa chiave per renderlo leggibile. Su internet però questo metodo non ha senso, poiché gli utenti entrano spesso in contatto con persone o organizzazioni con le quali non hanno mai comunicato al di fuori della rete. Di conseguenza non c’è alcun modo di trasferire una chiave senza prima inviarla non criptata tramite il mezzo pubblicamente accessibile. Pertanto, i certificati SSL utilizzano un altro metodo di crittografia.

Con un’infrastruttura a chiave pubblica non si crea soltanto una chiave, bensì due: una completamente pubblica e una privata. Un messaggio viene crittografato con la chiave pubblica (chiamata in inglese public key) e lo può in seguito decifrare soltanto con la private key. La chiave pubblica è quindi quella che il browser ottiene attraverso il certificato e che utilizza per crittografare. Per la codifica delle informazioni ci sono diversi metodi e anche in questo caso il server comunica le informazioni necessarie al browser attraverso il certificato.

Un metodo molto utilizzato attualmente per la codifica è ad esempio AES (Advanced Encryption Standard) con la funzione hash crittografica SHA256. Tuttavia, questi standard cambiano regolarmente. Un metodo che l’anno scorso era considerato infallibile potrebbe essere violato domani e considerato in seguito non più sicuro.

Quali tipi di certificati SSL esistono?

Ci sono diverse tipologie di certificati SSL. Anche se ci sono diverse autorità di rilascio con i più diversi meccanismi di verifica, questi non sono i fattori determinanti. Ciò che ha più importanza è l’accuratezza della verifica del richiedente e il campo di applicazione del certificato. Mentre i certificati SSL della categoria Domain Validation si possono ora ottenere gratuitamente, i privati e le piccole aziende soltanto in rari casi possono permettersi i costi di una Extended Validation.

Validazione del dominio (DV)

La validazione del dominio (Domain Validation) rappresenta il livello più basso dei certificati SSL: la verifica del personale dietro l’indirizzo web è perciò superficiale. Spesso l’autorità di certificazione manda semplicemente un’e-mail all’indirizzo e-mail presente nel registro WHOIS. La persona richiedente è invitata, ad esempio, a modificare un record DNS o a caricare un file specifico sul suo server, per dimostrare così il controllo del dominio.

Validazione dell’organizzazione (OV)

I certificati SSL OV sono considerati di un livello superiore per quanto riguarda la sicurezza dei visitatori e delle visitatrici. L’autorità di certificazione richiede al proprietario del sito web una documentazione come parte della convalida, di solito dopo che la validazione automatica del dominio è andata a buon fine. Per quanto riguarda i documenti concretamente necessari, ciò dipende dall’organizzazione che effettua il rilascio.

Spesso, ad esempio, viene richiesto un estratto del registro commerciale. Inoltre, alcune autorità di certificazione prendono contatto telefonico con il gestore del sito. I certificati SSL OV offrono dunque una maggiore sicurezza agli utenti di internet, poiché viene controllato in modo più accurato chi si celi realmente dietro un sito web. In più, offrono il vantaggio di incorporare queste informazioni nel certificato stesso, rendendole quindi visibili agli utenti.

Validazione estesa (EV)

I certificati SSL offerti sotto il nome di “Extended Validation” costituiscono il livello più alto di sicurezza. Con questo tipo di certificati vengono verificati i domini e le organizzazioni a esso collegati, nonché la stessa persona richiedente. Si controlla perciò anche se il richiedente lavora veramente presso l’organizzazione o l’azienda in questione e se ha il diritto di richiedere un tale certificato.

Inoltre l’autorità di certificazione deve avere la piena autorità per rilasciare una validazione estesa. Per ricevere l’autorizzazione bisogna superare con esiti positivi la verifica da parte del CA/Browser Forum, un’associazione volontaria di autorità di certificazione e di produttori di browser.

Sito web con dominio

Crea il tuo sito web personalizzato

MyWebsite Now Starter è lo strumento pensato per i principianti che vogliono creare un sito web in modo intuitivo. Include dominio e indirizzo e-mail.

Costi: SSL gratuito e a pagamento

Un fattore significativo nella categorizzazione e nella selezione di un certificato SSL è il costo associato al suo acquisto. Se si mette in relazione questo aspetto direttamente con i tre tipi di verifica precedenti, si può approssimativamente dire che maggiore è il controllo della certificazione, maggiore sarà il costo del certificato alla fine. Dal 2015, con Let’s Encrypt è stata creata un’autorità di certificazione che rilascia certificati completamente gratuiti.

Differenze tra certificati gratuiti e a pagamento

Se si tratta di proteggere il sito web in modo che sia accessibile tramite HTTPS piuttosto che tramite l’ordinario HTTP, un certificato gratuito soddisfa i requisiti richiesti, così come un certificato a pagamento. Entrambe le soluzioni implementano il protocollo di trasferimento SSL o TLS e rendono quindi il trasferimento dei dati sicuro e vincolante per i client e i server.

Esistono tuttavia alcune differenze fondamentali tra i certificati gratuiti e quelli a pagamento, che riguardano:

Livello di convalida: quando si rilascia un certificato, la verifica del gestore del sito web non è molto estesa; la convalida del dominio corrisponde al tipico livello di controllo. I certificati con un livello di sicurezza più elevato sono sempre a pagamento.
Appartenenza del dominio: un certificato SSL gratuito si può generare spesso senza un eccessivo impegno tecnico solo per un singolo dominio, al quale viene poi associato. Le soluzioni SSL/TLS a pagamento consentono anche certificati per più domini che possono essere utilizzati per diversi siti web.

I vantaggi della tecnologia SSL a pagamento

Il sistema SSL a pagamento (Paid SSL) offre diversi vantaggi rispetto alla versione gratuita, come già accennato nel paragrafo precedente: a seconda del fornitore e del pacchetto, i certificati a pagamento possono essere utilizzati su più domini senza un eccessivo impegno. Questo aumenta non solo la flessibilità, ma richiede anche molto meno sforzo. In caso di problemi, i rispettivi fornitori o autorità di certificazione forniscono come impostazione standard anche un supporto individuale, un lusso di cui gli utenti di un certificato SSL gratuito devono fare a meno.

Qual è il prezzo giusto?

Un certificato SSL a pagamento di tipo EV è senza dubbio la soluzione di cifratura ottimale per il tuo progetto web. Tuttavia, questo tipo di certificazione può essere ottenuto solo da aziende più grandi, che in questo caso coincidono con il target a cui si punta. In linea di principio, per i progetti web nel settore delle PMI sono sufficienti certificati più convenienti, purché non vengano trasmessi dati altamente sensibili, come nel caso dell’online banking. Per i progetti più piccoli, in cui il trasferimento dei dati personali non ha un ruolo importante o svolge un ruolo minore, i certificati SSL gratuiti sono una buona alternativa ai servizi a pagamento. In ogni caso, nella scelta del tuo certificato SSL dovresti prestare attenzione ai seguenti punti:

Copertura: fai attenzione a quanto si estende il certificato SSL, quindi anche a se, ad esempio, i sottodomini sono coperti dal certificato.
Nome singolo: un certificato tradizionale vale per un solo dominio, il che significa che www.example.com e tutte le pagine appartenenti a questo sito sono coperte dal certificato SSL, ma non i sottodomini.
Wildcard: questi certificati funzionano con un wildcard (“segnaposto” in italiano). Invece di coprire solo www.example.com, questi certificati SSL sono validi anche per tutti i sottodomini.
Multidominio: i certificati multidominio (chiamati anche certificati SAN) vanno di gran lunga oltre la copertura offerta dai certificati single name o wildcard, arrivando a comprendere fino a 100 domini.

Come si riconosce un certificato SSL?

Se utilizzi un browser corrente, puoi stabilire molto facilmente se stai visitando un sito protetto con SSL/TLS guardando semplicemente la barra degli indirizzi. Qui ci sono due elementi che attestano l’avvenuta crittografia:

l’icona del lucchetto
l’indirizzo che inizia con https:// invece del consueto http://

La “S” aggiuntiva sta per Secure e segnala all’utente che all’Hypertext Transfer Protocol è stato aggiunto un livello ulteriore SSL/TLS. Nello stack del protocollo TCP/IP è stato aggiunto un ulteriore livello di crittografia, tra TCP e HTTP.

La chiave è innanzitutto un segnale del tuo browser che ti avvisa che il sito web visitato è in possesso di un certificato valido. Inoltre, si tratta, aspetto non noto a molti utenti, di un pulsante che conduce a ulteriori informazioni sulla sicurezza del sito. Basta un clic e si apre una finestra pop-up con informazioni sul garante del certificato, sulla crittografia utilizzata e sulla durata di validità.

I browser forniscono già nella barra degli indirizzi indicazioni sul possesso di un certificato SSL valido da parte del sito web.

Se il sito internet su cui ti trovi non presenta alcun certificato SSL valido, non vedrai né il lucchetto né l’https:// nella barra degli indirizzi. Inoltre, se l’utente cerca di condividere password o altri dati sensibili sul server, alcuni browser avvisano del pericolo, informando che i dati potrebbero essere intercettati da sconosciuti.

Fatto

Solo perché un sito non possiede un certificato SSL, non deve essere per forza un sito fraudolento. Tuttavia, il rischio che terzi possano appropriarsi di dati personali importanti è più alto rispetto a quello che si corre sui siti che dispongono di un certificato SSL. In pratica, specialmente quando si tratta della trasmissione di dati sensibili, non si può prescindere dall’HTTPS.

Hai trovato questo articolo utile?

Tutte le novità sull'IA

Iscriviti alla nostra newsletter per ricevere consigli pratici e scoprire le ultime tendenze in fatto di IA.

Articoli popolari

Cos’è un dominio e-mail e come si configura?

Comunicare professionalità con il vostro dominio di posta elettronica: questi sono i…

Come si compra un dominio? Una guida

Come si registra un dominio e si ottiene il TLD e il Second-level domain desiderato? E…

Quali tipi di dominio esistono?

Quali estensioni di dominio esistono? Qual è la differenza tra i domini di primo e di…

Cos’è il prompt engineering?

Cos’è il prompt engineering? In che modo permette di migliorare i risultati di ChatGPT e…

Tipologie di siti web a confronto: i 7 tipi di siti web più noti

La scelta del giusto tipo di sito web non è da sottovalutare e contribuisce al successo…

Articoli simili

Bakhtiar ZeinShutterstock

Sicurezza su Internet: siti web sicuri con SSL e HTTPS

Il tema della sicurezza dati diventa sempre più importante, sia nel privato sia nel settore professionale. Come gestori di siti web dovreste prendere tutte le precauzioni necessarie per rendere la visita del vostro sito web il più possibile sicura e garantire la trasmissione di…

SSL
Sicurezza
HTTP
Tutorial

"Non sicuro": il marchio di Google Chrome 68 sui siti web HTTP

A partire da Chrome 68, tutti i siti web visualizzati sul browser di Google HTTP, quindi privi di un certificato SSL, sono segnalati all’utente come “Non sicuri”. Lo scopo del gigante dei motori di ricerca è di dissuadere i gestori di siti web da HTTP e invitarli invece a passare…

SEO
Lessico
Sicurezza
HTTP

agsandrewshutterstock

HSTS: come funziona l’implementazione HTTPS

In alcuni casi HTTPS, il protocollo di rete per la trasmissione dei dati crittografati tramite TLS nel World Wide Web, si può aggirare. Questo fatto si dimostra pericoloso quando i siti crittografati vengono richiamati ricorrendo al protocollo HTTP non crittografato.…

Sicurezza
HTTP
Crittografia

Cos’è una funzione di hash?

La funzione di hash viene utilizzata ampiamente nel settore informatico. Con il sistema della funzione di hash vengono creati valori di hash che rappresentano le informazioni digitali in misura uniforme e concorde a parametri definiti. Ciò consente di accelerare gli accessi ai…

Lessico
Sicurezza

Come installare un certificato SSL Let’s Encrypt su un server cloud con Plesk

Avere un sito web sicuro con un certificato SSL sta diventando sempre più importante, sia per gli utenti che per i motori di ricerca come Google. Spesso però è necessario pagare per averne uno, ma con Let’s Encrypt usufruite di un certificato SSL gratuito e automatizzato. Vi…

SSL
Tutorial