COS'È UN CERTIFICATO SSL E COME FUNZIONA

Il certificato SSL (Secure Sockets Layer) è un certificato digitale che consente una comunicazione sicura tra un sito web e i suoi visitatori. Viene utilizzato per crittografare i dati scambiati tra il sito web e il browser dell'utente, proteggendoli così da accessi non autorizzati. Per saperne di più, visitate il sito download e fate una scansione antivirus online gratuita per verificare la presenza di virus e malware sul vostro dispositivo. 

SCANSIONE ONLINE GRATUITA DI VIRUS E MALWARE

Che cos'è un certificato SSL?

Un certificato SSL è un certificato digitale che consente una comunicazione sicura tra un sito web e i suoi visitatori. Viene utilizzato per criptare i dati scambiati tra il sito web e il browser dell'utente, proteggendoli così da accessi non autorizzati. SSL sta per Secure Sockets Layer.

Un certificato SSL è un certificato digitale rilasciato dalle Autorità di Certificazione (CA) ai siti web, che ne autentica l'identità e consente una connessione sicura tra le pagine web e i browser. I certificati SSL ispirano fiducia in Internet perché indicano agli utenti che il traffico tra il loro browser e un sito Web è crittografato.

Questa connessione sicura è indicata dall'icona di un lucchetto nella barra degli indirizzi del browser e dal protocollo "https" nell'URL del sito web. I certificati SSL sono essential per le transazioni online, come gli acquisti di e-commerce, in quanto garantiscono che le informazioni sensibili, come i dati della carta di credito, siano trasmesse in modo sicuro. Esiste però il pericolo che i certificati SSL creino un falso senso di sicurezza, poiché anche i siti web dannosi possono ottenere certificati SSL. Ad esempio, sono aumentati i siti web di phishing che hanno ottenuto certificati Domain Validated (DV) da autorità che non moderano i siti che ottengono i certificati. Inoltre, i certificati SSL non possono proteggere i siti web da attacchi dannosi come SQL injection o malware. 

Come funziona un certificato SSL? 

Un certificato SSL funziona utilizzando algoritmi di crittografia per criptare i dati scambiati tra un browser web e un sito web.

Quando i dati sono crittografati, è quasi impossibile per un attore di minacce leggerli. Esempi di dati sono le password, i nomi e le informazioni finanziarie.

Ecco il processo in cinque fasi di come funziona un certificato SSL:

  1. Un browser tenta di connettersi a un sito web con un certificato SSL.
  2. Il server del sito web invia una copia del suo certificato SSL al browser per la convalida. La chiave pubblica del sito web contenuta nel certificato aiuta a crittografare i dati durante la sessione.
  3. Il browser convalida il certificato per verificare che sia autentico, non revocato e non scaduto. Dopo la convalida, il browser utilizza la chiave pubblica del server per creare una chiave simmetrica crittografata e la invia al server.
  4. Il server utilizza la sua chiave privata per decifrare la chiave di sessione simmetrica. Il server indica che è pronto ad avviare una sessione di crittografia inviando una conferma di ricezione crittografata con la chiave di sessione.
  5. Il browser e il sito web stabiliscono ora una connessione sicura e crittografata con la chiave di sessione.

L'intero processo è chiamato anche handshake SSL ed è quasi istantaneo. Dopo che il certificato SSL ha protetto la connessione:

  • Nella barra degli indirizzi del browser, prima dell'URL, compare l'icona di un lucchetto.
  • L'URL è preceduto dall'acronimo HTTPS (HyperText Transfer Protocol Secure).

Cosa comprendono i certificati SSL?

  • Nome di dominio: il nome o i nomi di dominio per cui è valido il certificato SSL.

  • Dettagli dell'emissione: Il dispositivo o la persona a cui è stato rilasciato il certificato SSL e l'autorità di certificazione che lo ha emesso.

  • Firma digitale: La firma digitale che verifica l'autenticità del certificato.

  • Date: La data di emissione e di scadenza del certificato.

  • Chiave pubblica: Un certificato SSL include una chiave pubblica, mentre la chiave privata viene mantenuta privata.

A cosa serve un certificato SSL? 

Un certificato SSL viene utilizzato per creare una connessione sicura tra un browser e un sito web. Il certificato aiuta a proteggere qualsiasi scambio di dati tra un dispositivo e il server di un sito web. Oltre a criptare le connessioni, i certificati SSL aiutano a proteggere la sicurezza degli utenti del sito web. Inoltre, un certificato SSL contribuisce a creare fiducia in un sito web.

Perché ho bisogno di un certificato SSL per il mio sito web? 

Un certificato SSL non dovrebbe mai essere considerato l'unico strumento per la sicurezza informatica di un sito web. Tuttavia, è necessario un certificato SSL per il vostro sito web per i seguenti motivi:

  • Protezione dei dati: La crittografia SSL aiuta a proteggere i dati scambiati tra il vostro sito web e i vostri visitatori dai criminali informatici. Questo non solo è positivo per gli affari, ma può aiutare la vostra piattaforma online a rispettare le leggi sulla privacy.

  • Fiducia: L'utente medio di Internet si sentirà più sicuro nel navigare sul vostro sito web, sapendo che il simbolo del lucchetto e l'acronimo HTTPS indicano una connessione sicura.

  • SEO: I siti web con certificati SSL si posizionano più in alto nei motori di ricerca perché sono percepiti come sicuri. Infatti, alcuni browser segnalano addirittura i siti web http e avvertono gli utenti di non visitarli, poiché non sono sicuri.

Tipi di certificati SSL 

Il vostro sito web può ottenere diversi tipi di certificati SSL. Ogni certificato ha i suoi punti di forza, i suoi processi di verifica e i suoi costi.

Certificati convalidati dal dominio (DV) 

I certificati DV tendono a essere più convenienti dei certificati SSL EV o OV. Pur essendo solitamente i meno costosi, forniscono solo una verifica di base. I certificati DV sono in genere utilizzati da siti web a basso rischio, come bacheche o pagine di blog.

Certificati Extended Validation (EV) 

Un certificato a convalida estesa comporta il massimo livello di convalida ed è solitamente il tipo di certificato SSL più costoso. I siti web rinomati che offrono acquisti online o e-commerce utilizzano solitamente questo tipo di certificato. Oltre al simbolo del lucchetto, un certificato SSL EV mostra il nome e il paese dell'organizzazione nella barra degli indirizzi.

Certificati Organization Validated (OV) 

Come i certificati EV, i certificati OV forniscono un livello di convalida più elevato rispetto ai certificati SSL DV. I certificati OV mostrano anche le informazioni del proprietario del sito web nella barra degli indirizzi.

Certificati SSL Wildcard 

Un certificato SSL Wildcard protegge un dominio primario e un numero illimitato di sottodomini con un unico certificato. Le aziende con più sottodomini sotto un unico dominio tendono a ottenere questo tipo di certificato per ridurre i costi.

Certificati SSL multidominio 

I certificati SSL multidominio fanno un passo avanti rispetto ai certificati SSL Wildcard. Consentono a un singolo certificato di proteggere molti domini e sottodomini. Questi tipi di certificati sono ideali per le organizzazioni con più siti web.

Acquisto di un certificato SSL: Come acquistare un certificato SSL 

Iniziate con la ricerca di diversi certificati SSL e scegliete quello che corrisponde alle vostre esigenze. Ad esempio, se avete un unico dominio con molti sottodomini, potreste aver bisogno di un certificato SSL Wildcard. In alternativa, potete scegliere un certificato DV per la vostra pagina personale.

Dopo aver scelto il tipo di certificato, è possibile acquistarlo consultando l'elenco delle Autorità di certificazione (CA). I certificati delle Autorità di certificazione variano in base al prezzo. Mentre alcuni certificati sono gratuiti, altri possono costare centinaia, se non migliaia di dollari.

Preparate il vostro server per assicurarvi che il record WHOIS corrisponda alla vostra richiesta alla CA. Successivamente, è necessario generare una richiesta di firma del certificato (CSR). La CSR conterrà i vostri dati e la vostra chiave pubblica. Dopo aver inviato il CSR alla CA, potrebbe essere necessario fornire altra documentazione, come la prova della proprietà del dominio.

Dopo aver ricevuto i file del certificato, è possibile installare l'SSL. Il processo dipende dal tipo di server. Se ne avete bisogno, contattate il vostro provider di siti web per ottenere assistenza. In seguito, dovrete configurare il vostro sito web per utilizzare l'HTTPS. Per verificare che il certificato sia autentico e installato correttamente, è possibile utilizzare un programma di controllo SSL.

Rinnovo del certificato SSL: Come rinnovare un certificato SSL

I certificati SSL hanno una data di scadenza. Pianificate per tempo il rinnovo del vostro SSL. Se ritardate il rinnovo, il vostro sito web potrebbe perdere il sigillo di fiducia.

Il processo di rinnovo di un certificato SSL è simile all'acquisto di un nuovo certificato. Dovrete generare un nuovo CSR e inviarlo alla vostra CA. Dovrete anche installare i file del certificato SSL aggiornato sul vostro server come in precedenza e assicurarvi che il certificato sia installato correttamente con un SSL checker.

Prezzi dei certificati SSL: Quanto costa un certificato SSL? 

I prezzi dei certificati SSL variano notevolmente. Mentre alcuni certificati SSL possono essere ottenuti gratuitamente, i certificati SSL di livello aziendale possono costare migliaia di dollari all'anno. Il costo di un certificato SSL dipende dal numero di domini e sottodomini, dal tipo di certificato, dal livello di sicurezza e dalla reputazione dell'autorità di certificazione (CA).

Certificato TLS vs SSL: La differenza tra TLS e SSL 

Mentre SSL (Secure Sockets Layer) e TSL (Transport Layer Security) sono entrambi protocolli crittografici, TLS è la versione aggiornata. TLS è considerato più sicuro e moderno, con un migliore handshake TLS. TLS è anche retrocompatibile e può connettersi a un server SSL.

I termini "SSL" e "TLS" sono spesso usati in modo intercambiabile su Internet, anche se il secondo è un sostituto del primo. Molti emittenti di certificati si riferiscono addirittura ai loro certificati TLS come certificati SSL.

Come verificare se un sito dispone di un certificato SSL 

https:// 

Controllate se l'indirizzo del sito web inizia con l'acronimo "HTTPS". HTTPS è l'acronimo di Hyper-Text Transfer Protocol Secure.

Icona del lucchetto 

Un sito web con un certificato SSL dovrebbe avere un lucchetto sulla barra degli indirizzi. Facendo clic sul simbolo del lucchetto si possono ottenere maggiori informazioni sull'autorità che ha rilasciato il certificato SSL, sulla data di scadenza e sul proprietario del sito.

Barra degli indirizzi verde 

La barra degli indirizzi verde era un indicatore SSL per i siti web con certificati SSL EV. Tuttavia, i principali sviluppatori di browser come Apple e Google la considerano ormai obsoleta.

Strumenti 

Alcuni siti web ed estensioni del browser possono verificare se un sito web ha un certificato SSL valido. Ad esempio, è possibile inserire l'URL di un sito web in SSL Shopper'sSSLChecker per conoscere la sua certificazione.

Che cos'è un errore del certificato SSL? 

Un errore del certificato SSL può verificarsi quando c'è un problema con il certificato di un sito web. Un errore del certificato SSL può verificarsi per diversi motivi. Mentre alcuni errori possono essere dovuti a motivi innocui, altri possono essere dovuti a fattori dannosi. È meglio procedere con cautela quando si apre un sito web che presenta un errore del certificato SSL.

Certificato SSL scaduto 

Come già detto, i certificati SSL hanno una data di scadenza. A volte i proprietari di siti web possono dimenticare di rinnovare il certificato SSL. Un certificato SSL scaduto fa sì che il browser visualizzi un messaggio di errore.

Certificato SSL non attendibile 

Ogni browser può accedere a un elenco di fornitori di certificati SSL affidabili. Il browser può segnalare che il certificato SSL di un sito web non è attendibile se l'autorità emittente del sito non è presente nell'elenco o è sospetta. Ad esempio, potrebbe essere visualizzato un errore se il certificato è autofirmato o ottenuto da un emittente fraudolento.

SSL non configurato correttamente

Dopo aver ottenuto un certificato SSL, il proprietario di un sito web deve installarlo e configurarlo correttamente. Un certificato SSL mal configurato può causare un errore al sito web.

Mancata corrispondenza del nome 

I certificati SSL vengono emessi per domini e sottodomini specifici. Una mancata corrispondenza nei record costringe il browser a visualizzare un messaggio di errore.

Certificato SSL revocato 

Gli emittenti di certificati SSL possono revocare un certificato prima della sua scadenza se la sua chiave privata è stata compromessa o se il dominio è stato chiuso. Anche un sito web può richiedere la revoca del proprio certificato. Indipendentemente dal motivo per cui il certificato SSL è stato revocato, il risultato sarà un errore.

I certificati SSL sono gratuiti? 

Anche se non tutti i certificati SSL sono gratuiti, alcuni lo sono davvero. I certificati SSL gratuiti sono solitamente certificati Domain Validated (DV). Sono ideali per le pagine personali o per le piccole imprese. I siti web più grandi dovrebbero ottenere certificati a pagamento che offrono maggiore sicurezza e più funzioni rispetto ai certificati SSL DV.

Un sito web senza SSL può essere violato? 

Un certificato SSL protegge solo la connessione tra un utente e un sito web. Un sito web con o senza certificazione SSL può essere violato in vari modi. Gli attori delle minacce possono sfruttare le vulnerabilità della sicurezza, le credenziali di accesso deboli, la scarsa codifica, il software obsoleto e altri mezzi per violare un sito web.

Le tecniche di hacking dei siti web includono:

  • Iniezione SQL.

  • Cross-site scripting (XSS).

  • Attacchi di forza bruta come questoattacco DDoS da record.

  • Gocce di malware.

  • Spedizioni di phishing sui dipendenti dei siti web.

Quanto durano i certificati SSL 

Un tempo i certificati SSL potevano essere emessi con un periodo di scadenza di cinque anni. Tuttavia, questo periodo è stato modificato più volte. Dalla fine del 2020, un certificato SSL non può essere rilasciato per più di 13 mesi.

Un certificato SSL significa che un sito web è sicuro da usare? 

Sebbene un certificato SSL significhi che la connessione a un sito web è sicura, non significa necessariamente che il sito sia sicuro da utilizzare. Ad esempio, anche i siti web dannosi possono ottenere alcuni tipi di certificati SSL, come i certificati DV.

I siti web di phishing possono contenere certificazioni DV, ma sono progettati per rubare informazioni riservate come nomi, indirizzi, password e dati delle carte di credito. I siti web di phishing possono sembrare legittimi, ma possono presentare errori grammaticali, grafica di bassa qualità, design scadente o offerte che sembrano troppo belle per essere vere.

Inoltre, gli attori delle minacce possono violare i siti web legittimi con certificati SSL utilizzando diversi strumenti e sfruttamenti.

Ecco alcuni passaggi che possono aiutarvi a verificare la sicurezza di un sito web:

  • UtilizzareMalwarebytes Browser Guard per bloccare le pagine web che contengono malware, truffe e altri contenuti dannosi.

  • Abbonatevi a un servizio di rete privata virtuale (VPN) per criptare i vostri dati e nascondere il vostroindirizzo IP. Potete scoprire comefunziona la VPN per criptare i vostri dati e mascherare la vostra posizione.

  • Assicuratevi che l'URL del sito web sia scritto correttamente. Un sito web di phishing con un certificato SSL di base che si spaccia per Walmart.com può avere un indirizzo molto simile che varia solo di uno o due caratteri. Ad esempio, invece di Walmart.com, potrebbe essere Walmert.com o Walmrat.com.

  • Cercate il segno del lucchetto e l'acronimo HTTPS sulla barra degli indirizzi per assicurarvi che il sito abbia un certificato SSL. Come minimo, un sito web con un certificato SSL offre una connessione crittografata.

  • Fare clic sul simbolo del lucchetto nella barra degli indirizzi del browser per verificare l'identità del proprietario del sito web e controllare l'autorità del certificato e la data di scadenza.

  • Ricercate la reputazione del sito web con un programma di controllo della sicurezza dei siti web.

Anche un sito web violato o di phishing può infettare il vostro sistema con malware. Assicuratevi una protezione contro le minacce informatiche per garantire che i vostri computer e dispositivi siano privi di software dannoso. Seguite questi consigli per la sicurezza in Internet per una maggiore protezione del vostro browser. 

Domande frequenti

Che cos'è un certificato SSL?

Il certificato SSL (Secure Sockets Layer) è un certificato digitale che consente una comunicazione sicura tra un sito web e i suoi visitatori. Viene utilizzato per criptare i dati scambiati tra il sito web e il browser dell'utente, proteggendoli da accessi non autorizzati.

I certificati SSL sono emessi da autorità di certificazione di terze parti affidabili e contengono informazioni sul proprietario del sito web, sulla validità del certificato e sulla chiave di crittografia utilizzata per la comunicazione sicura. Quando un utente visita un sito web con un certificato SSL, il suo browser verifica l'autenticità del certificato e stabilisce una connessione sicura con il sito.

Questa connessione sicura è indicata dall'icona di un lucchetto nella barra degli indirizzi del browser e dal protocollo "https" nell'URL del sito web. I certificati SSL sono essential per le transazioni online, come gli acquisti di e-commerce, in quanto garantiscono la trasmissione sicura di informazioni sensibili, come i dati della carta di credito.

Quali sono i 3 tipi di autenticazione?

  1. Autenticazione basata sulla conoscenza: Questo tipo di autenticazione prevede che l'utente fornisca informazioni che solo lui dovrebbe conoscere, come una password, un PIN o la risposta a una domanda di sicurezza.

  2. Autenticazione basata sul possesso: Questo tipo di autenticazione prevede che l'utente dimostri di possedere un oggetto fisico, come un token di sicurezza, una smart card o un dispositivo mobile.

  3. Autenticazione basata sull'inerenza: Questo tipo di autenticazione prevede che l'utente fornisca informazioni biometriche, come l'impronta digitale, il riconoscimento facciale o la scansione dell'iride, per verificare la propria identità.

Come si ottiene un certificato SSL nel 2023?

Ecco come ottenere un certificato SSL nel 2023: 

  1. Determinare il tipo di certificato SSL necessario: Esistono diversi tipi di certificati SSL, come i certificati Domain Validated (DV), Organization Validated (OV) e Extended Validation (EV). È necessario determinare quale tipo di certificato è adatto al proprio sito web.

  2. Scegliete un fornitore di certificati SSL affidabile: Esistono molti fornitori di certificati SSL e bisogna sceglierne uno affidabile che offra il tipo di certificato di cui si ha bisogno.

  3. Generare una richiesta di firma del certificato (CSR): Un CSR è un file che contiene le informazioni del vostro sito web, come il nome del dominio e la chiave pubblica. È necessario generare un CSR dal pannello di controllo del web hosting.

  4. Inviare il CSR al fornitore del certificato SSL: Dopo aver generato il CSR, è necessario inviarlo al fornitore del certificato SSL. Questi lo utilizzerà per emettere il vostro certificato SSL.

  5. Installate il certificato SSL sul vostro sito web: Una volta ricevuto il certificato SSL, è necessario installarlo sul proprio sito web. Il processo di installazione varia a seconda del vostro provider di web hosting e del tipo di certificato SSL che avete.

  6. Testare il certificato SSL: Dopo aver installato il certificato SSL, è necessario testarlo per verificare che funzioni correttamente. È possibile utilizzare uno strumento di controllo SSL per verificare l'installazione e la configurazione del certificato SSL.

Una volta che il certificato SSL è installato e funziona correttamente, il vostro sito web avrà una connessione sicura e i visitatori vedranno l'icona del lucchetto e il protocollo "https" nell'URL.