Cos'è un Certificato SSL? In questo articolo vedremo come passare da protocollo HTTP a protocollo HTTPS installando un certificato di sicurezza, detto anche certificato SSL, per il tuo sito WordPress. Prima di procedere vediamo cos'è un certificato SSL e il protocollo HTTPS.
Cos'è un Certificato SSL e cos'è il protocollo HTTPS?
La comunicazione tra i computer della rete avviene tramite uno scambio di dati. HTTPS (o Secure HTTP) è un protocollo di comunicazione che cripta questi dati attraverso il certificato Secure Sockets Layer, abbreviato, SSL. La certificazione SSL rende, quindi, più sicura la connessione tra il browser ed il server del sito web proteggendo i dati sensibili dai malintenzionati.
Per ogni sito viene rilasciato un certificato SSL che identifica univocamente il proprietario. L'utilizzo dell'https è necessario, ad esempio, per siti di e-commerce con pagamento online tramite carta di credito, in quanto i vari PayPal, Stripe e gli altri servizi pretendono una connessione sicura. Il certificato SSL è quindi la garanzia di avere una pagina web protetta.
Dopo questa introduzione dovresti avere già le idee più chiare. Continua a leggere se vuoi capire meglio cos'è un certificato SSL e come funziona nello specifico.
Come funzionano i certificati SSL?
La certificazione SSL collega i dati sensibili ad una chiave crittografica per assicurare una connessione sicura tra due server, in questo caso il server web di un sito e un browser.
Quando, ad esempio, tentiamo di connetterci ad un sito, il nostro browser riceverà dal suo server una copia della certificazione. Una volta verificata l’attendibilità mediante firma digitale, il browser sarà pronto a condividere i dati con il sito web.
Come vedere i certificati SSL sul browser?
Ora che hai le idee più chiare su cos'è un certificato SSL puoi riconoscere con facilità i siti che lo utilizzano. Ci sono due modi per visualizzare il certificato di un sito su un browser come Chrome.
Nel primo caso basta cliccare sul lucchetto nella barra degli indirizzi, poi su “La connessione è sicura” e infine su “il certificato è valido”. Si aprirà il visualizzatore di certificati da cui sarà possibile accedere ai dettagli.
Il secondo metodo è quello di fare tasto destro sulla pagina web e cliccare su Ispeziona. Si aprirà una finestra dalla quale sarà possibile accedere alla sezione Security, nella barra in alto, e visualizzare i dettagli del certificato ssl.
Cosa succede quando un sito non dispone di un certificato SSL?
Se un server sta fingendo di essere su HTTPS, ed il certificato non corrisponde, avrai un avviso da parte del browser simile a questo, che ci indica che il sito web che stai visitando non è sicuro:
Recentemente Google ha annunciato che favorirà il posizionamento nei risultati di ricerca dei siti web che utilizzano SSL, quindi avere un sito web protetto con SSL favorirà anche il tuo lavoro con il SEO. In aggiunta sulla barra degli indirizzi, da qualche tempo, i browser segnalano come "non sicuri" i siti che non sono in https. Vale a dire che un sito senza un certificato sarà inevitabilmente soggetto a penalizzazione.
Comprenderai bene che, nel momento in cui gli utenti di un sito si trovassero a leggere un simile avviso, potrebbero scappare a gambe levate con conseguente calo di traffico.
Chi rilascia i certificati SSL?
Il rilascio dei certificati SSL avviene da parte di autorità accreditate di certificazione, dette Certification Autority (CA). Sebbene in alcuni casi basti soltanto dimostrare di essere proprietari del dominio, nel caso di società per ottenere un certificato digitale è necessario inviare documenti che garantiscano l'effettiva esistenza e attività dell'azienda.
Quanti tipi di certificati SSL esistono?
Se finora hai capito cos’è un certificato SSL possiamo passare in rassegna le varie tipologie esistenti. Esistono 3 diversi tipi di certificato SSL per siti web: Domain Validated (DV), Organization Validated (OV) ed Extended Validated (EV): ognuno corrisponde ad un differente livello di sicurezza.
La differenza fra i vari certificati sta nel tipo di procedura messa in atto dalla Certification Authority (l’ente certificatore) per emettere e validare la protezione.
- Certificato SSL DV (Domain Validated). I certificati DV SSL vengono rilasciati dopo che l’autorità di certificazione verifica che il dominio del sito sia di proprietà di chi richiede il certificato. Sono i più economici.
- Certificato SSL OV (Organization Validated). L’attivazione della certificazione OV SSL ha una procedura più lunga perché implica un esame dell’azienda che richiede il certificato. In questo caso la società dovrà sottoporre ad esame i documenti che testimoniano la sua esistenza e attività. Questo tipo di protezione è ideale per piccole aziende e piccoli siti web di e-commerce.
- Certificato SSL EV (Extended Validated). Il certificato EV SSL ha un costo maggiore e viene rilasciato dopo una valutazione più attenta. I siti con SSL EV sono contrassegnati dalla barra degli indirizzi di colore verde. E’ indicato per grandi aziende e grandi siti di e-commerce.
Certificati SSL per domini e sottodomini
Ci sono vari tipi di certificati anche per quanto riguarda la protezione di domini e sottodomini: distinguiamo infatti fra SSL Wildcard, Multi-Domain SSL Certificate (MDC, certificati SSL multidominio) e Unified Communications Certificate (UCC).
- I certificati SSL Wildcard proteggono un dominio di base e sottodomini illimitati: possono essere SSL DV o SSL OV.
- I certificati multidominio SSL possono invece mettere in sicurezza fino a 100 diversi domini e sottodomini.
- Gli Unified Communications Certificates (UCC), simili ai precedenti, sono progettati per funzionare all’interno dell’ambiente Microsoft Exchange e Microsoft Office Communication Server.
Come ottenere il certificato SSL per il proprio sito web
Un certificato SSL di solito può essere acquistato dal provider che fornisce il servizio di web hosting. I principali provider forniscono gratuitamente la certificazione Let’s Encrypt. Solitamente quest'ultima viene abilitata in automatico dopo 24 ore dal momento in cui il dominio viene collegato tramite DNS.
Come installare un certificato SSL per proteggere i dati sensibili?
Nel caso in cui non volessi attendere le 24 ore di tempo per l'abilitazione del tuo certificato Let’s Encrypt, puoi attivarlo recandoti sul cPanel del sito del tuo hosting.
Come ottenere un certificato SSL gratuito
Se hai un piccolo sito o un blog puoi utilizzare un certificato SSL gratuito. I certificati gratuiti sono solo i certificati DV (Domain Validation), vale a dire che non valgono per qualsiasi sito web. Aziende e società strutturate, infatti, non potranno utilizzarli per i propri siti.
La validità della certificazione gratuita va dai 30 ai 90 giorni, dopodiché andranno rinnovati. E’ possibile crearne uno auto-firmato, ma i browser web non lo considereranno affidabile perché sprovvisto della firma di un’ente certificatore.
Ci sono tuttavia alcuni siti che permettono di creare una certificazione gratuita provvisto di firma della CA, come SSL For Free, ZeroSSL o Let’s Encrypt.
Se vuoi saperne di più leggi questo nostro articolo su come avere gratis un certificato SSL.
La scadenza di un certificato SSL
Ogni certificato SSL scade dopo un periodo di tempo prestabilito. Fino a qualche anno fa la durata variava dai 3 mesi ai 2 anni; nel 2020, però, la scadenza è stata limitata a 13 mesi. Al termine della scadenza il protocollo dovrà essere nuovamente rinnovato: è un'operazione necessaria per garantire una navigazione sicura all'interno del proprio sito.
Cos'è TLS (Transport Layer Security)?
TLS, acronimo che sta per Transport Layer Security, è un protocollo di crittografia più recente di SSL.
In realtà il protocollo SSL 2.0 fu rilasciato nel 1995 e implementato l’anno seguente con la versione 3.0. TLS, invece, venne lanciato nel 1999 come aggiornamento a SSL per risolverne alcune falle nella vulnerabilità.
In seguito SSL è stato deprecato: vale a dire che tutti gli attuali certificati sono in realtà SSL/TLS e non solo SSL.
I vantaggi di una Certificazione SSL per una connessione sicura
Arrivato a questo punto dovresti avere compreso con chiarezza cos’è un certificato SSL e perché è importante averne uno sul proprio sito.
Avere un certificato SSL garantisce la sicurezza del sito e uno scambio di dati crittografati tra il client e il server web. Vale a dire che il sito è protetto da attacchi di malintenzionati che potrebbero entrare in possesso di informazioni sensibili come dati personali, password o numero di carta di credito.
Abbiamo già accennato a come un sito web affidabile venga giudicato positivamente dai motori di ricerca. Questo andrà ad impattare sulla SEO ma anche sull'esperienza di navigazione degli utenti, che saranno più propensi a visitarlo e a compiere conversioni anche effettuando acquisti sul sito in questione.
Cos'è un certificato SSL (Secure Sockets Layer): In Conclusione
In questo articolo abbiamo spiegato cos'è una certificazione SSL (secure socket layer) e perché un sito web deve averne una per assicurare una navigazione in modo sicuro. E' possibile riconoscere un sito che utilizza SSL e protocollo HTTPS perché, sul browser, ha il simbolo di un lucchetto accanto alla barra dell'indirizzo web.
Abbiamo visto come sia necessario un certificato SSL per tutte quelle attività che necessitano di dover proteggere i dati sensibili, e abbiamo passato in rassegna le varie tipologie di certificati emesse dall'Autorità di Certificazione.
Con Siteground è molto semplice configurare un protocollo SSL per il dominio scelto, ma se dovessi avere difficoltà scrivici e saremo lieti di darti una mano.
Speriamo di averti aiutato a capire cos'è un certificato SSL e come funziona. Al prossimo articolo!
Potrebbe interessarti anche I migliori hosting per WordPress. Le tipologie e le caratteristiche fondamentali.