Che cos’è un certificato SSL?

Quando compriamo qualcosa online vogliamo la certezza che il sito web su cui stiamo acquistando sia sicuro. Ma come si fa ad averla?

Beh, ti è mai capitato di vedere un lucchetto vicino all’URL del sito web su cui stavi navigando? Quella è la garanzia: i certificati SSL.

Ma ovviamente, ottenerla non è così semplice come sembra. I certificati SSL sono fondamentali per la creazione di un e-commerce di successo, perchè permettono la creazione di un ambiente affidabile in cui i potenziali clienti si sentano sicuri nell’effettuare acquisti.

Pensiamo ad internet come un mare che permette ai suoi navigatori di raggiungere porti e città bellissime da esplorare, ed alle pagine web come questi porti e queste città. In quale porto attraccheresti la tua barca? Noi preferiamo quello con il guardiano! Se tu sei più avventuroso, corri i tuoi rischi… ma non lamentarti se quando avrai finito la tua esplorazione, non troverai più neanche l’ancora!

In questo caso, il nostro guardiano è il certificato SSL, conosciamolo insieme in questo articolo!

Cos’è il  Secure Sockets Layer (SSL)?

Secure Sockets Layer (SSL) è una tecnologia di sicurezza standard per stabilire un collegamento crittografato tra un server e un client, in genere un server web (sito web) e un browser o un server di posta e un client di posta (ad esempio, Outlook).

In altre parole, il ertificato SSL è un certificato digitale che autentica l’identità di un sito web e crea una connessione crittografata tra un sito web e un browser. Un certificato SSL può essere chiamato “certificato SSL/TLS” o semplicemente “cert”.

I certificati SSL proteggono l’identità de

la connessione remota e rendono private le interazioni online, assicurando che nessuno possa leggere o modificare i contenuti condivisi tramite la connessione sicura, tranne il mittente e il destinatario.

Possiamo paragonarlo ad un passaporto! Ci serve per verificare l’identità del proprietario del sito web e come una chiave per proteggere i dati dell’utente tramite una crittografia avanzata.

Cos’è un’autorità di certificazione SSL (CA)?

Ma chi garantisce la sicurezza dei certificati SSL?

I certificati SSL vengono emessi da organizzazioni denominate autorità di certificazione (CA).

Una CA è un’organizzazione di terze parti attendibile che garantisce l’identità di un sito web. Sono fidati perché sono pochi, ben conosciuti e devono abbattere barriere elevate all’ingresso. Esistono poco più di 100 autorità di certificazione in tutto il mondo e vengono controllate per essere incluse come radice attendibile dai fornitori di browser Web e sistemi operativi.

Prima di emettere un certificato, la CA verifica le informazioni del richiedente del certificato, come: la proprietà del sito, il nome, l’ubicazione e altro, in base agli standard di settore stabiliti.

La Certification Authority inoltre firma digitalmente il certificato con la propria chiave privata, consentendo ai clienti di verificarlo. Per fornire questo servizio, la maggior parte delle CA addebita una piccola quota annuale (sebbene siano disponibili certificati SSL gratuiti da alcuni host web e CA senza scopo di lucro).

Il certificato SSL effettivo è un piccolo file digitale, in genere di pochi kilobyte, installato sul server che supporta TLS (transport layer security) e condiviso con altri. Questo file contiene:

• Il nome di dominio del sito web per il quale è stato emesso il certificato
• Il titolare del certificato
• Il nome dell’autorità di certificazione emittente 
• La firma digitale dell’autorità di certificazione
• Eventuali sottodomini associati
• La data di emissione e la data di scadenza del certificato
• La chiave pubblica ( la chiave privata non è condivisa)

Ogni volta che utilizzi un browser per connetterti a un URL che inizia con “https” o vedi l’icona di un lucchetto nella barra degli indirizzi del browser, sai che hai una connessione TLS sicura verificata da un certificato SSL emesso da un’ autorità di certificazione. Facendo clic sull’icona del lucchetto verranno visualizzate ulteriori informazioni sul certificato SSL, sul proprietario del dominio e sulla connessione.

Sebbene questo lucchetto significhi che la tua connessione al sito è sicura, non significa necessariamente che il sito sia sicuro da usare. Cioè, solo perché puoi connetterti in modo sicuro a un sito non significa che non sia controllato da “attori malvagi”.

Quali sono le differenze tra i tipi di certificati SSL?

Esistono vari tipi di certificati ssl e le loro differenze sostanzialmente dipendono da la crittografia, la convalida e il numero di domini.

Per ottenere il massimo dal tuo certificato SSL devi scegliere quello più adatto al tuo sito web e alle tue esigenze. Vediamo quindi insieme quali sono così potrai scegliere al meglio!

Certificato SSL a convalida estesa (EV)

Questo certificato mostra il lucchetto, l’HTTPS, il nome dell’azienda e il paese dell’azienda nella barra degli indirizzi per ridurre l’errore di essere scambiato per un sito web spam.

Gli SSL Extended Validation (EV) sono gli SSL più costosi da ottenere, ma sono utili per mostrare la legittimità del tuo dominio dalla barra degli indirizzi. Per configurare un SSL EV, devi dimostrare di essere autorizzato a possedere il dominio che stai inviando. Ciò garantisce agli utenti che stai raccogliendo legalmente i dati necessari per eseguire determinate azioni, ad esempio un numero di carta di credito per una transazione online.

Un certificato SSL EV può essere ottenuto da qualsiasi azienda e dovrebbe essere una priorità soprattutto per coloro che necessitano di garanzia dell’identità. Ad esempio, se il tuo sito web elabora pagamenti web o raccoglie dati, ti consigliamo di ottenere questo certificato. Sarà una garanzia di sicurezza per gli utenti e affermerà la tua validità online.

Certificato convalidato dall’organizzazione (OV SSL)

Questo certificato verifica che la tua organizzazione e la convalida del dominio siano reali. I certificati SSL Organization Validated (OV) offrono un livello medio di crittografia e si ottengono in due fasi. Prima, la CA verificherà chi possiede il dominio, poi se l’organizzazione opera legalmente.

Sul browser, gli utenti vedrebbero un piccolo lucchetto verde seguito dal nome dell’azienda. Utilizza questo tipo di certificato se non disponi delle risorse finanziarie per un SSL EV, ma desideri comunque offrire un livello di crittografia moderato.

Certificato di convalida del dominio (DV)

Il certificato Domain Validation (DV) offre un basso livello di crittografia mostrato come un lucchetto verde accanto all’URL nella barra degli indirizzi. Questa è la convalida più rapida che puoi ricevere e ti serviranno solo pochi documenti aziendali per fare domanda.

La CA esaminerà il diritto del richiedente di possedere il dominio presentato, ma non dati di identità, quindi non saprai chi sta ricevendo le tue informazioni crittografate.

Certificati SSL con caratteri jolly

I Certificati SSL Wildcard sono nella categoria “numero di dominio e sottodominio”. Gli SSL jolly assicurano che se acquisti un certificato per un dominio, puoi utilizzare lo stesso certificato per i sottodomini.

Ad esempio, se hai acquistato un carattere jolly per example.com, potrebbe essere applicato a mail.example.com e blog.example.com.

Un’opzione come questa è più economica rispetto all’ottenimento di più certificati SSL per un numero o un dominio.

Certificato SSL per comunicazioni unificate (UCC)

Conosciuti anche come certificati SSL multi dominio, i certificati per comunicazioni unificate (UCC) consentono a più nomi di dominio di trovarsi sullo stesso certificato. Gli UCC sono stati creati per collegare la comunicazione tra un singolo server e un browser, ma da allora si sono espansi per includere più nomi di dominio dello stesso proprietario.

Un UCC nella barra degli indirizzi mostra un lucchetto per visualizzare la verifica. Possono anche essere considerati un SSL EV se sono configurati per mostrare il testo verde, il lucchetto e il paese di origine. L’unica differenza è il numero di nomi di dominio associati a questo certificato.

I certificati SSL multidominio coprono fino a 100 nomi di dominio. Se è necessario modificare i nomi in qualsiasi modo, è possibile farlo con l’opzione Nome alternativo soggetto (SAN).

Certificato SSL a dominio singolo

Un SSL a dominio singolo protegge un dominio. La cosa da ricordare su questo certificato è che non puoi usarlo per proteggere sottodomini o un dominio completamente diverso.

Come funziona un certificato SSL?

Ora che abbiamo iniziato a conoscere il certificato SSL, per comprenderlo ancora meglio, vediamo come funziona!

Quando un browser tenta di accedere a un sito web protetto da SSL, il browser e il server web stabiliscono una connessione SSL utilizzando un processo chiamato “SSL Handshake”.

Essenzialmente, vengono utilizzate tre chiavi per impostare la connessione SSL: le chiavi pubblica, privata e di sessione. Qualsiasi cosa crittografata con la chiave pubblica può essere decrittografata solo con la chiave privata e viceversa.
Poiché la crittografia e la decrittografia con chiave privata e pubblica richiedono molta potenza di elaborazione, vengono utilizzate solo durante l’handshake SSL per creare una chiave di sessione simmetrica. Dopo aver stabilito la connessione sicura, la chiave di sessione viene utilizzata per crittografare tutti i dati trasmessi.

Ma cos’è l’ SSL handshake? Proprio come ci suggerisce il suo nome, è una sorta di “presentazione”, proprio come due persone che si stringono la mano, tra di loro c’è uno scambio di varie informazioni che gli servono per conoscersi.

In pratica funziona così:

1. Il browser si connette a un server web (sito web) protetto con SSL (https). Il browser richiede che il server si identifichi.
2. Il server invia una copia del proprio certificato SSL, inclusa la chiave pubblica del server.
3. Il browser controlla la radice del certificato rispetto a un elenco di CA attendibili e verifica che il certificato non sia scaduto, non sia stato revocato e che il suo nome comune sia valido per il sito Web a cui si sta connettendo. Se il browser considera attendibile il certificato, crea, crittografa e restituisce una chiave di sessione simmetrica utilizzando la chiave pubblica del server.
4. Il server decrittografa la chiave di sessione simmetrica utilizzando la sua chiave privata e restituisce un riconoscimento crittografato con la chiave di sessione per avviare la sessione crittografata.
5. Server e browser ora crittografano tutti i dati trasmessi con la chiave di sessione.

Come ottenere un certificato SSL per il proprio sito web?

Vediamo come ottenere un certificato SSL e dare agli utenti un motivo in più per fidarsi del tuo sito web e della tua attività!

1. Determina il livello di sicurezza del sito web di cui hai bisogno.

   Scegli tra DV, OV o EV SSL. (Se disponi di più domini o sottodomini, potrebbe essere necessario aggiungere o sostituire un carattere jolly o un certificato MDC.) Rivedi le tue esigenze organizzative e il budget e scegli il livello di verifica dell’identità appropriato.

2. Determina i domini e i sottodomini da supportare.

   Se ne hai solo un dominio, potrebbe non essere necessario ottenere un certificato con caratteri jolly.

3. Scegli un’autorità/provider di certificazione.

   Per esigenze di fascia bassa, potrebbe essere sufficiente lavorare con il tuo provider di web hosting e ottenere un certificato gratuito. I certificati multi dominio ed EV comporteranno un rapporto retribuito con un’autorità di certificazione. Guardati intorno e valuta l’opzione migliore per te!

4. Richiedi un certificato dal tuo provider SSL scelto.

   Ciò comporta generalmente la compilazione di moduli web e l’effettuazione di pagamenti.

5. Verifica la proprietà e altri dettagli.

   La CA seguirà per verificare le informazioni che hai inviato nella tua domanda, richiedendo come minimo la verifica via email della proprietà del dominio.

6. Ottenere e installare il certificato.

   Questo passaggio dipende dalla CA che scegli e dalla tua piattaforma web. In genere, scaricherai un file ZIP contenente tre chiavi: la chiave pubblica, la chiave privata e un pacchetto di autorità di certificazione. Se lavori con un host web commerciale, la console di amministrazione del tuo sito di solito include strumenti per l’installazione dei certificati. Se stai lavorando sul tuo hardware, più vicino al sistema operativo e al server web, segui la documentazione per quell’ambiente.

7. Configura altre app per utilizzare il certificato.

   Se intendi supportare connessioni SSL ad altre applicazioni sui tuoi server (ad es. WordPress, email, ecc.), dovrai configurarle per utilizzare il tuo certificato e il protocollo TLS.

8. Verifica che la tua connessione sicura funzioni.

   Connettiti al tuo sito web e/o ad altre app e assicurati di avere una connessione sicura. Fare clic sul lucchetto e rivedere le informazioni visualizzate nel browser.

9. Segnala i tuoi siti ai motori di ricerca.

   I tuoi nuovi siti web “https” sono distinti dai tuoi vecchi siti “http”. Se i tuoi utenti si affidano ai motori di ricerca per trovarti, dovrai inviare nuovamente il tuo nuovo indirizzo web https a tali motori per l’indicizzazione .

Come posso sapere se il mio sito web ha SSL?

Come immagino avrai capito, un certificato SSL è molto importante per il tuo sito web, è infatti ormai da considerarsi come una sorta di “must have“, se si vuole avere successo nel mondo del web.

Ma mettiamo caso che tu ti sia dimenticato di rinnovare il tuo certificato oppure non sia sicuro di averlo.

Come capire se sei ancora nel periodo di validità del certificato o se il tuo sito web? Vediamolo!

L’URL riporta “https://” e non “http://”

Come prima cosa osserva il tuo URL!

Un sito web crittografato con SSL avrà sempre quella “s” che sta per “sicuro”. L’Url, potrà presentare anche un lucchetto.

In pratica dovrebbe apparire così:

La “s” significa che la tua connessione a quel sito web è sicura e crittografata, quindi tutti i dati inseriti vengono condivisi in modo sicuro con quel sito web.

Vedrai l’icona di un lucchetto nella barra degli URL

Il lucchetto verrà visualizzato sul lato sinistro o destro della barra degli URL, a seconda del browser. Ad esempio, su Chrome e Safari, sarà a sinistra. È possibile fare clic sul lucchetto per leggere ulteriori informazioni sul sito web e sull’azienda che ha fornito il certificato.

certificato valido

Anche se un sito ha https:// e un lucchetto, il certificato potrebbe comunque essere scaduto, il che significa che la tua connessione non sarebbe sicura.

Nella maggior parte dei casi, un sito che viene visualizzato come https sarà sicuro ma, se ti imbatti in un sito che richiede molte informazioni personali, può valere la pena ricontrollare per essere sicuro che il certificato sia valido.

Per scoprire se il certificato è valido in Chrome, vai su Visualizza > Sviluppatore > Strumenti per sviluppatori . Da lì dovrai accedere alla scheda Sicurezza per vedere se il certificato SSL è valido o scaduto. Se fai clic sul pulsante Visualizza certificato , sarai in grado di visualizzare ulteriori informazioni sul certificato SSL e la data specifica fino alla quale è valido.

La prossima volta che visiti un sito web, controlla il suo stato di crittografia!

Se ci pensi, non è un po’ rassicurante pensare che facendo clic su un piccolo lucchetto puoi vedere se i tuoi dati sono al sicuro?

Quindi, mettiti nei panni di un user tipico che naviga su vari siti web, di quale sceglierebbe di usufruirne i servizi? Di uno che gli offre una certificazione che gli da sicurezza, oppure di uno che non garantisce una navigazione sicura?

La risposta già la sai, quindi fai in modo che il tuo sito web abbia un certificato SSL, in modo da poter proteggere i dati e la privacy dei tuoi clienti!

Certificati SSL e SEO

Ma arriviamo ora alla parte più interessante!

I certificati SSL sono utili a migliorare la tua presenza sui motori di ricerca?

Se possiedi un sito web, dovresti avere un certificato SSL. Se stai chiedendo agli utenti di inserire un nome utente e una password di accesso o stai raccogliendo informazioni private come numeri di carte di credito, dati sanitari o conti finanziari, hai bisogno di un certificato SSL per garantire che la trasmissione di questi dati sia sicura. Un certificato SSL comunica ai visitatori che le loro informazioni sensibili (come carte di credito e password) sono protette sul tuo sito .

Molti proprietari di siti web scelgono di avere un certificato SSL anche se non raccolgono informazioni sensibili, perché l’algoritmo di Google premia i siti web che li hanno!

Quindi, possedere un certificato SSL è utile per la tua strategia SEO?

SÌ! Sebbene lo scopo principale di SSL sia proteggere le informazioni tra il visitatore e il tuo sito , ci sono anche vantaggi per la SEO. Secondo Google Webmaster Trends Analysts , SSL fa parte dell’algoritmo di ranking della ricerca di Google.

Supponiamo che due siti siano simili nel contenuto fornito, ma uno ha abilitato SSL e l’altro no. Quel primo sito potrebbe ricevere un leggero aumento di ranking perché è crittografato.

Ma non pensiamo solo al motore di ricerca! Mettiamoci nei panni delle persone!

Stiamo navigando su internet e cerchiamo un prodotto da acquistare. Troviamo due siti, entrambi lo vendono, uno ha il certificato SSL l’altro no. Su quale pensi che l’utente sia più propenso ad effettuare transazioni? Ovviamente su quello più sicuro! Niente allontana i potenziali clienti più velocemente di un’etichetta che recita “non sicuro”. O peggio, una schermata con un grande pop-up che avverte: “Questo sito Web potrebbe non essere sicuro”. Proteggere il tuo sito con un certificato SSL è il modo più semplice per evitarlo.

Di conseguenza, c’è un chiaro vantaggio SEO nell’abilitare SSL sul tuo sito e su tutte le tue pagine.