Di recente i noti browser Google Chrome e Mozilla Firefox hanno annunciato il loro piano di diffida nei confronti di qualsiasi certificato SSL rilasciato dall’azienda Symantec prima del 1° dicembre 2017. Il certificato SSL rappresenta un aspetto importante di ogni sito web e tratta dati sensibili. La web security di Symantec e altre soluzioni PKI sono state acquisite dall’azienda DigiCert, un evento che ha portato DigiCert ad aggiornare e modernizzare numerosi aspetti del modello Symantec. Tuttavia, nel frattempo, Chrome e Mozilla hanno scelto di revocare la convalida ai certificati SSL di Symantec finché gli aggiornamenti di cui sopra non saranno completati.
Certificati SSL di IONOS
Proteggi il tuo dominio e ottieni la fiducia dei clienti con un sito crittografato tramite SSL!
Facile attivazioneSicurezzaSupporto 24/7La decisione di Chrome e Mozilla di diffidare i certificati SSL di Symantec è risultata da alcune discrepanze rilevate in alcuni di quelli rilasciati tra il 2015 e oggi. Il punto di maggiore critica riguardava l’abilità di Symantec di assicurare un corretto processo di autenticazione ai certificati SSL. I dibattiti tra Symantec e la community dei browser si sono dilungati per diversi mesi, per poi concludersi in due risoluzioni fissate da Google Chrome e successivamente confermate da Mozilla Firefox:
Poco dopo questa decisione Symantec ha venduto il suo business di SSL a Digicert e a partire dal 1° dicembre 2017 ha quindi iniziato a rilasciare certificati SSL pienamente conformi dalla nuova infrastruttura CA.
Mentre Chrome e Mozilla potrebbero stare agendo negli interessi della sicurezza dei propri clienti, rimangono ancora diversi browser quali Internet Explorer, Safari e Opera che decidono di non mostrare messaggi di avvertimento agli utenti poiché non credono che la minaccia sia così grave come sostenuto invece da Chrome e Mozilla. Ignari della gravità del rischio alla sicurezza, numerosi gestori di siti web potrebbero essere colpiti dalla campagna di diffida.
Chrome ha iniziato a emettere messaggi di avvertimento il 16 aprile 2018 agli utenti di Chrome 66 (e successivi) quando tentano di accedere a siti web criptati con un certificato SSL Symantec. Questo avviso compare su tutti i certificati SSL di Symantec emessi prima del 1° giugno 2016. A partire da ottobre 2018, gli utenti di Chrome 70 (e versioni successive) riceveranno inoltre il messaggio su tutti i siti web che contengono certificati SSL Symantec rilasciati prima del 1° dicembre 2017.
Il messaggio di avvertimento semplicemente afferma che lo scambio di dati potrebbe non essere sicuro. I visitatori hanno la possibilità di accettare il monito e continuare a navigare sulla pagina senza ostacoli: la funzionalità del sito web rimarrà quindi inalterata. I dati presenti sul vostro sito web non corrono dunque alcun rischio di essere compromessi.
Per scoprire se il vostro sito web sia colpito o meno da questo cambiamento, è necessario verificare la validità del certificato. Esistono diversi tool online che possono venirvi in aiuto per stabilire la validità del vostro certificato SSL: vi basta semplicemente ricercare, selezionare e scaricare il programma a vostra scelta ed effettuare la verifica. In alternativa è anche abbastanza semplice farlo tramite il vostro browser. In questa sede vi illustreremo come controllare se i vostri certificati SSL siano scaduti o meno con Google Chrome e Mozilla Firefox.
Per verificare lo stato del vostro certificato SSL con Chrome, selezionate l’icona a fianco all’URL. Potrebbe trattarsi di un lucchetto verde (“connessione sicura”), un punto esclamativo giallo (“nessun certificato disponibile”), un’icona di una pagina vuota (“questo sito web non necessita di una autenticazione preventiva”), un lucchetto con un triangolo giallo (“certificato disponibile ma lo standard di sicurezza è basso”) oppure di un lucchetto rosso (“il sito web ha problemi di certificazione”). Cliccate sull’icona presente e comparirà una finestra con l’opzione di visualizzare il certificato:
Aprite la tab “Details” (“dettagli”) nella seconda finestra e troverete i periodi di validità dei certificati del sito web.
Il processo di verifica della validità di un certificato SSL con Mozilla Firefox non è tanto diverso da quello di Chrome. Accanto all’URL dovrebbe esserci un’icona di sicurezza: un lucchetto verde (“sicuro”), un lucchetto grigio con un punto esclamativo giallo (“la connessione potrebbe non essere sicura”) oppure un lucchetto grigio barrato da una linea rossa (“la connessione non è sicura”). Cliccando sull’icona di sicurezza si aprirà una piccola finestra:
Vi basterà cliccare sulla freccia accanto alle informazioni di connessione del sito web e si aprirà un’altra finestra. In basso alla tab “General” (“opzioni generali”) della finestra pop up troverete il periodo di validità del certificato.
Il calendario consiste di due fasi che riguardano le versioni di Google Chrome 66 e 70:
Fase I – I certificati emessi prima del 1° giugno 2016 saranno diffidati da Chrome 66. Siete tenuti a rinnovare i certificati SSL rilasciati precedentemente a questa data prima del 15 marzo 2018.
Fase II – Se il vostro certificato SSL è stato emesso dopo il 1° dicembre 2017, allora non è necessario rinnovarlo. I certificati rilasciati prima del 1° dicembre 2017 saranno diffidati da Chrome 70. Qualsiasi certificato SSL emesso prima di questa data dovrà essere sostituito entro il 13 settembre 2018. Se utilizzate Chrome 66 potreste avere già ricevuto il seguente avviso su Chrome Developer Tools:
Se il certificato SSL non viene sostituito prima del rilascio di Chrome 70, allora i vostri clienti non saranno più in grado di accedere al vostro sito web:
Tutti i certificati SSL interessati devono essere sostituiti attraverso un’operazione di cosiddetta “riemissione”. In questo modo viene fornito un certificato per lo stesso dominio, con la stessa data di scadenza di quello sostituito.
Se il vostro certificato scade prima del 13 settembre 2018 (Chrome 70 beta), non è necessario fare nulla.
Symantec/DigiCert offre ai clienti interessati un nuovo certificato SSL gratuito.
Dovrete creare un CSR (Certificate Signing Request) per ogni certificato che desiderate sostituire o riemettere; si tratta di una procedura standard per l’invio a DigiCert della vostra chiave pubblica e di informazioni riguardo alla vostra azienda e al vostro nome di dominio. Inviate la vostra richiesta e una volta che DigiCert avrà convalidato nuovamente i vostri domini e le vostre organizzazioni, riceverete il nuovo certificato pronto da installare.
Il tema della sicurezza dati diventa sempre più importante, sia nel privato sia nel settore professionale. Come gestori di siti web dovreste prendere tutte le precauzioni necessarie per rendere la visita del vostro sito web il più possibile sicura e garantire la trasmissione di dati senza rischi. La migrazione da HTTP a SSL e HTTPS è il primo passo verso una pagina sicura e per guadagnarvi la...
In alcuni casi HTTPS, il protocollo di rete per la trasmissione dei dati crittografati tramite TLS nel World Wide Web, si può aggirare. Questo fatto si dimostra pericoloso quando i siti crittografati vengono richiamati ricorrendo al protocollo HTTP non crittografato. L’implementazione HTTPS HSTS (HTTP Strict Transport Security) forza però la visualizzazione delle pagine web tramite la crittografia...
I certificati SSL/TLS giocano un ruolo sempre più importante nella trasmissione di dati sensibili, poiché garantiscono che i pacchetti inviati raggiungano i propri destinatari senza essere intercettati o manomessi. Si possono verificare degli inconvenienti soltanto quando gli utenti vengono reindirizzati da certificati non validi emessi da autorità certificative dubbie: ma è proprio in queste...
Le sitemap dovrebbero essere la dotazione standard di qualsiasi sito web, eppure pare che stiano via via scomparendo dal World Wide Web. Alcuni siti le nascondono o ne fanno persino a meno. Vi spieghiamo per quale motivo i motori di ricerca come Google ripongono ancora molta importanza nelle sitemap, quanto sono fondamentali per la SEO e, infine, come crearne una manualmente o con l’aiuto di un...
La sicurezza su Internet ha sempre maggiore importanza: indipendentemente che si possieda un sito o che si navighi soltanto, è importante comprendere i principi fondamentali della sicurezza su Internet. Per questo motivo vi spieghiamo cosa sono i certificati SSL, a che cosa servono e quali diversi tipi di certificato esistono.
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Scopri i pacchetti
Dominio omaggio per un anno