Certificato SSL: cos'è e come funziona

27 Luglio 2023 / Pubblicato in: Sicurezza da Maria Grazia Guzzo

Hai sentito parlare del certificato SSL ma non ti è chiara la sua reale utilità? In questo articolo vedremo tutto quello che c'è da sapere sul certificato SSL: cos'è, come funziona e quali sono le differenze tra i diversi tipi di certificato.

Vedremo anche come ottenere un certificato e come verificare che sia valido.

Indice dei contenuti

Cos'è un certificato SSL?

Un certificato SSL permette di creare una connessione crittografata e quindi sicura ed è la base essenziale per poter utilizzare il protocollo di connessione sicura HTTPS.

All'interno del certificato sono riportate diverse informazioni essenziali:

il dominio per cui il certificato è stato emesso ed eventuali sottodomini associati;
la persona o la società verso cui il certificato è stato emesso;
l'autorità di certificazione, vale a dire l'ente che lo ha rilasciato e la firma digitale;
il periodo di validità con data di emissione e di scadenza;
la chiave pubblica.

Che differenza c'è tra SSL e TLS

Questi certificati digitali si chiamo SSL perché si basano sull'omonimo protocollo di crittografia. In realtà sarebbe più corretto chiamarli certificati TLS o TLS/SSL visto che il protocollo Transport Layer Security (TLS) ha rimpiazzato quello precedente Secure Sockets Layer (SSL).

Tuttavia, visto che ormai il temine certificato SSL è diffuso e conosciuto, viene usato questo termine anche se in realtà si va ad utilizzare un certificato che utilizza il protocollo TLS che è più sicuro rispetto a quello SSL.

Prova gratis e senza impegno uno dei nostri piani hosting per 14 giorni. Non è richiesto nessun dato di pagamento!

Prova gratis

A cosa serve il certificato SSL

I certificati SSL sono fondamentali per proteggere i siti web e in particolare per assicurare la trasmissione dei dati in maniera sicura.

È necessario avere un certificato SSL soprattutto sui siti in cui è richiesto l'inserimento di dati sensibili come credenziali di accesso, dati personali o dati di pagamento.

Alla base del protocollo TLS e dei certificati, c'è infatti un sistema che consente la comunicazione tra client (il browser) e server (la macchina su cui è ospitato il sito web) in maniera sicura. L'obiettivo è quello di prevenire la manomissione dei dati vale a dire ridurre il rischio che le informazioni possano essere falsificate o anche intercettate da terzi.

Nella pratica la presenza del certificato permette di capire se un sito web è autentico. Infatti, come dicevamo prima, una delle informazioni contenute nel certificato è il dominio del sito. Questo significa che un sito ingannevole non potrà avere un certificato corrispondente a un indirizzo diverso da quello in uso.

Quanti tipi di certificato ci sono?

I certificati SSL possono essere suddivisi in base al tipo di validazione o in base al numero di domini.

Bisogna quindi sapere che le differenze tra i tipi di certificati riguardano il metodo di verifica richiesta per ottenere il certificato. Non ci sono però differenze per la crittografia e quindi per il livello di sicurezza.

Per quanto riguarda il numero di domini, oltre ai certificati SSL per dominio singolo, ci sono anche certificati che valgono per domini multipli e per i sottodomini.

In particolare si parla di certificati SSL wildcard quando il certificato è valido sia per il dominio principale che per i sottodomini, per esempio dominio.com e tutti i sottodomini: blog.dominio.com, shop.dominio.com, ecc.

I certificati SSL multidominio sono chiamati anche MDC da multi-domain certificate o UCC (unified communications certificate). In genere vengono utilizzati per coprire diversi domini aggiungendo i domini aggiuntivi nel campo "Subject Alternative Name (SAN)". Un esempio può essere utilizzare un solo certificato per proteggere "dominio.com" e "dominio.it".

I certificati possono anche essere suddivisi in base al tipo di verifica necessaria per ottenerli, troviamo infatti certificati DV, OV ed EV. Andiamo a vedere quali sono le differenze.

Certificati DV

Certificati a convalida del dominio (domain validation o DV), si tratta del livello di validazione di base che prevede la verifica della proprietà del dominio per cui si sta richiedendo il certificato.

La verifica viene fatta solo a livello del dominio e non sono richieste informazioni sull'azienda richiedente.

Questa tipologia di certificati è la più facile e veloce da ottenere. I certificati gratuiti di Let's Encrypt sono di questo tipo.

In genere i certificati DV sono adatti a blog e siti web in cui non avviene la raccolta di dati sensibili e non si effettuano pagamenti.

Certificati OV

Certificati a convalida dell'organizzazione (organization validation o OV), aggiungono una verifica ulteriore rispetto a quella del dominio.

In questo caso è necessario fornire anche documentazioni che attestino di aver registrato a tutti gli effetti l'azienda, per esempio può essere necessario comunicare il numero di iscrizione al registro imprese o quanto meno le informazioni essenziali sul tipo di società, nome e indirizzo. Si tratta di una verifica volta a capire se connessa al certificato ci sia una società in regola.

Questi certificati vengono in genere utilizzati da siti e-commerce o da siti che trattano informazioni sensibili.

Certificati EV

Certificati a convalida estesa (extended validation o EV) richiede verifiche aggiuntive che sono effettuate per identificare l'azienda che sta richiedendo il certificato. Questo tipo di certificato, infatti, non viene rilasciato a tutte le attività, per esempio non può essere richiesto da una partita IVA identificata come persona fisica. Di fatto questo tipo di certificazione viene richiesto perlopiù da banche, servizi finanziari, grandi e-commerce e imprese.

La procedura per ottenere il certificato può variare in base all'ente di certificazione ma richiede sempre svariati livelli di convalida. In genere devono essere comunicati il numero di iscrizione al registro imprese e viene fatta una verifica sull'esistenza operativa dell'azienda.

Queste verifiche molto rigorose sono fatte per evitare frodi, ti basta pensare che un'ente di certificazione, DigiCert, ha dichiarato di rifiutare ogni anno più di 3.700 certificati di convalida estesa.

Come funziona il certificato SSL

Ora che abbiamo capito il certificato SSL cos'è, entriamo nel dettaglio sul suo funzionamento.

I certificati SSL consentono di utilizzare la crittografia per inviare i dati in maniera sicura ed evitare così che possano essere letti da terzi durante la trasmissione.

Quando ci si collega a un sito web protetto dal certificato, il browser e il server si scambiano messaggi attraverso un processo che viene chiamato handshake TLS.

Ecco come funziona.

Quando il browser si collega al server richiede delle informazioni.
In risposta il server invia il certificato SSL.
Il browser fa un controllo sul certificato per verificarne la validità e per assicurarsi che corrisponda al dominio del sito. Dopodiché invia al server un messaggio crittografato con la chiave pubblica (quella del certificato del server).
Il server può decodificare il messaggio usando la sua chiave privata e ottenere così la chiave di sessione. A questo punto utilizza questa chiave di sessione temporanea per inviare un messaggio di conferma al browser.
Da questo momento in avanti i dati vengono scambiati in maniera crittografata e sicura.

Come vedi quindi il processo prevede una prima fase che serve all'autenticazione. In questa fase si usa una crittografia asimmetrica che prevede l'utilizzo di una chiave per la crittografia e una per decrittografare i dati. La chiave per la crittografia è la chiave pubblica, mentre la chiave privata serve a decrittografare le informazioni.

Nel processo che abbiamo visto, quindi, il server invia il certificato al browser e con il certificato invia anche la chiave pubblica. Il browser può usare la chiave pubblica del certificato per crittografare le informazioni e inviarle al server.

Dopo che l'handshake è avvenuto, si utilizza la crittografia simmetrica perché viene usata una sola chiave (quella di sessione) per continuare a scambiare i dati in maniera sicura.

Come capire se un sito sta usando un certificato SSL?

Ci sono diversi sistemi per capire se il sito che stiamo visitando è protetto da un certificato SSL valido.

Per prima cosa si può guardare l'URL. Tutti i siti che hanno un certificato SSL valido saranno raggiungibile tramite protocollo HTTPS. La prima cosa da fare quindi è proprio controllare che l'indirizzo sia preceduto da "https" e non "http".

Per avere altre informazioni sul certificato si può cliccare sull'icona a forma di lucchetto dalla barra degli indirizzi del browser.

Da qui si può capire se il certificato è valido e vedere tutte le informazioni di cui parlavamo prima: da chi è stato emesso, per quali domini è valido, per quale azienda è stato rilasciato e così via.

Si possono anche usare degli strumenti online come SSL Labs per identificare un certificato SSL non valido o scaduto.

Se il certificato non è valido, vedrai un avviso di sito non sicuro nella barra degli indirizzi e spesso un messaggio a tutto schermo che ti impedirà di accedere al sito.

Avviso Di Sito Non Sicuro Su Google Chrome

Come ottenere un certificato SSL

Per un blog o un sito web su cui non avvengono pagamenti, un certificato SSL con convalida del dominio spesso è sufficiente. In questo caso ti conviene scegliere un servizio di hosting che includa il certificato SSL e che preveda l'attivazione e il rinnovo automatico. Tieni presente che in alcuni casi i pacchetti hosting includono il certificato solo per il primo anno, questo ad esempio è il caso di Namecheap che offre un certificato PositiveSSL per il primo anno.

Se hai bisogno di un certificato DV con delle garanzie, un certificato OV o EV, puoi verificare se il tuo hosting ti permette di acquistarlo o rivolgerti a un servizio esterno.

Tutti i piani di SupportHost includono il certificato SSL gratuito di Let's Encrypt. I certificati si attivano in automatico e non richiedono nessun intervento da parte tua per il rinnovo.

Se vuoi acquistare un certificato SSL a pagamento, abbiamo certificati DV come Positive SSL a partire da 18€ l'anno.

Se hai già un sito web, ottenere il certificato SSL è il primo passaggio per poter utilizzare il protocollo HTTPS. Se hai un sito WordPress puoi seguire la nostra guida su come passare da http ad https.

Quanto dura un certificato SSL?

La validità dipende dal certificato che stai utilizzando. Ad esempio i certificati emessi da Let's Encrypt sono validi per 90 giorni.

Fino al 2020 i certificati avevano periodi di validità più lunga, fino ai due anni. Con le ultime disposizioni per garantire una maggiore sicurezza il limite massimo di validità dei certificati è di 13 mesi. Per evitare problemi e avere il sito non protetto, il rinnovo può e deve avvenire prima della scadenza in modo da avere sempre un certificato valido.

Prova gratis e senza impegno uno dei nostri piani hosting per 14 giorni. Non è richiesto nessun dato di pagamento!

Prova gratis

Conclusioni

Abbiamo visto cos'è un certificato SSL, per che cosa viene utilizzato e quali sono le differenze tra i diversi tipi di certificato per aiutarti a capire quale è meglio utilizzare in base al tipo di sito e alle esigenze.

Ci siamo soffermati sul funzionamento dei certificati SSL e capito esattamente come verificare se un sito dispone di un certificato valido. Per finire abbiamo parlato anche di come ottenere i diversi tipi di certificato e cosa sapere sulla durata e il rinnovo.

È tutto chiaro o hai altre domande? Facci sapere con un commento.

Maria Grazia Guzzo

Unisce la sua passione per la scrittura e la tecnologia per creare guide approfondite e di facile comprensione. Crede nei contenuti zero fuffa, scritti da e per le persone.

Cookie	Durata	Descrizione
_dc_gtm_UA-*	1 minuto	Cookie di Google Tag Manager per controllare il caricamento di un tag script di Google Analytics.
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati dei visitatori, delle sessioni e delle campagne e tiene anche traccia dell'utilizzo del sito per il rapporto analitico del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gcl_au	3 mesi	Fornito da Google Tag Manager per sperimentare l'efficienza pubblicitaria dei siti web che utilizzano i loro servizi.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un rapporto analitico delle prestazioni del sito. Alcuni dei dati che vengono raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.
_GRECAPTCHA	5 mesi 27 giorni	Questo cookie è impostato dal servizio Google recaptcha per identificare i bot per proteggere il sito web da attacchi.
cookielawinfo-checkbox-advertisement	1 anno	Impostato dal plugin GDPR Cookie Consent, questo cookie è utilizzato per registrare il consenso dell'utente per i cookie della categoria "Pubblicità".
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Analitici".
cookielawinfo-checkbox-functional	11 mesi	Il cookie è impostato dal consenso dei cookie GDPR per registrare il consenso dell'utente per i cookie della categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Necessari".
cookielawinfo-checkbox-others	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Altri".
PHPSESSID	di sessione	Questo cookie è nativo delle applicazioni PHP. Il cookie viene utilizzato per memorizzare e identificare l'ID di sessione unico di un utente allo scopo di gestire la sessione dell'utente sul sito web. Il cookie è un cookie di sessione e viene cancellato quando tutte le finestre del browser vengono chiuse.
promocode	Fino alla scadenza del codice sconto, massimo 1 anno	Questo cookie viene impostato quando si visita una pagina tramite un link che include un codice sconto. Il nome del codice sconto viene ricordato per ricordare all'utente che può avere uno sconto sul servizio.
RefID	90 giorni	Questo cookie memorizza l'ID del referral che ha inviato l'amico in modo che se il cliente effettua un ordine entro i 90 giorni successivi al referral, il referral riceve un regalo per questo.
user_currency_pref	11 mesi	Questo cookie viene impostato per ricordare la valuta dell'utente.
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
WHMCSAffiliateID	90 giorni	Questo cookie memorizza l'ID dell'affiliato che ha inviato il referral in modo che se il cliente effettua un ordine entro i 90 giorni successivi al rinvio, l'affiliato riceve una commissione per esso.
WHMCSInstanceID	di sessione	Questo cookie memorizza l'ID di sessione unico per ogni visitatore e permette il passaggio di variabili tra i caricamenti di pagina. Il cookie contiene solo un riferimento a una sessione sul server web. Il browser dell'utente non memorizza alcuna informazione personale.

Cookie	Durata	Descrizione
_fbp	3 mesi	Questo cookie è impostato da Facebook per visualizzare annunci pubblicitari su Facebook o su una piattaforma digitale alimentata dalla pubblicità di Facebook, dopo aver visitato il sito web.
fr	3 mesi	Facebook imposta questo cookie per mostrare agli utenti pubblicità pertinenti tracciando il comportamento degli utenti sul web, sui siti che hanno Facebook pixel o Facebook social plugin.

Cookie	Durata	Descrizione
cf_chl_*	1 ora	Questo cookie viene utilizzato per verificare se il server Cloudflare Edge supporta i cookie.
cf_chl_prog	1 ora	Questi cookie sono utilizzati da Cloudflare per l'esecuzione di controlli Javascript o Captcha. Non vengono utilizzati per il tracciamento o al di fuori dello scopo del controllo.
cf_chl_rc_ni	1 ora	Questi cookie sono per uso interno e permettono a Cloudflare di identificare i problemi al sito dei clienti.
cf_chl_seq_*	di sessione	Questi cookie sono utilizzati da Cloudflare per l'esecuzione di controlli Javascript o Captcha. Non vengono utilizzati per il tracciamento o al di fuori dello scopo del controllo.
pvc_visits*	1 giorno	Questi cookie sono utilizzati dal plugin Posts View Counter per contare le visite a specifici articoli, pagine e tutorial.
WHMCSLinkID	364 giorni	Questo cookie ricorda il link che il visitatore ha seguito per arrivare al sito, e il sistema lo utilizza quando riceve un ordine, per poter associare la conversione a un link e poter fornire statistiche.

Cookie	Durata	Descrizione
__cf_bm	30 minuti	Questo cookie, impostato da Cloudflare, è utilizzato per supportare Cloudflare Bot Management.
__stripe_mid	1 anno	Questo cookie è utilizzato per prevenire le frodi delle carte di credito.
__stripe_sid	1 anno	Questo cookie è utilizzato per prevenire le frodi delle carte di credito.
WHMCSUser	364 giorni	Questo cookie è utilizzato per la funzionalità "ricordami" dell'area clienti. Il sistema lo imposta solo se un cliente ha scelto che il sistema ricordi i suoi dati, assicurandosi che non abbia bisogno di accedere più volte. È persistente e dura per 365 giorni, o fino al logout.

Certificato SSL: cos'è e come funziona

Cos'è un certificato SSL?

Che differenza c'è tra SSL e TLS

A cosa serve il certificato SSL

Quanti tipi di certificato ci sono?

Certificati DV

Certificati OV

Certificati EV

Come funziona il certificato SSL

Come capire se un sito sta usando un certificato SSL?

Come ottenere un certificato SSL

Quanto dura un certificato SSL?

Conclusioni

Maria Grazia Guzzo

Cerca nel Blog

Articoli popolari

I nostri servizi più venduti

Prova gratis

Articoli Correlati

Sito non sicuro: come risolvere

Come passare da http a https con WordPress

Certificato SSL non valido: come risolvere

Lascia un commento Annulla risposta