L’avviso di certificato SSL non valido può indurre gli utenti ad allontanarsi dal sito (e a non ritornare più). È importante capire quali sono le possibili cause che fanno comparire l’errore.
Non sempre, infatti, il problema dipende direttamente dal certificato, ma ci sono anche altri errori, compresi problemi con il browser, che possono far comparire l’avviso.
In questo articolo vedremo da cosa dipende l’errore e come fare a risolvere il problema in base alla causa. Per prima cosa, però, facciamo una breve premessa su cosa sono i certificati SSL e quanti tipi di certificato esistono.
Table of Contents
Cos’è un certificato SSL
Quando si parla di certificati SSL ci si riferisce a dei certificati digitali utilizzati nell’ambito dei protocolli di sicurezza.
Il protocollo sicuro HTTPS gestisce le comunicazioni tra browser e server in modo che siano criptate. Per farlo si avvale di due chiavi per cifrare i dati: una chiave privata e una pubblica e la cifratura avviene attraverso il protocollo TLS / SSL attuato per mezzo dei certificati SSL.
Quando visiti un sito HTTPS il browser verifica che il certificato SSL del sito sia valido. Affinché i certificati SSL siano validi devono essere stati firmati da un ente autorizzato conosciuto come Certification Authority (CA).
Tieni presente che sebbene questo tipo di certificati venga comunemente indicato come certificato SSL (Secure Sockets Layer), in realtà la maggior parte dei certificati ad oggi si basa sul nuovo protocollo TLS (Transport Layer Security).
Il protocollo HTTPS protegge quindi la connessione degli utenti al tuo sito, ecco perché è indispensabile migrare da HTTP a HTTPS se non lo si è ancora fatto.
Quando ci sono problemi con il certificato di sicurezza del sito, infatti, l’utente è invitato attraverso dei messaggi di avviso ad abbandonare il sito. Prima di vedere quali avvisi compaiono quando un sito ha il certificato SSL non valido, vediamo quali tipi di certificato si possono utilizzare.
Tipi di certificati SSL
Esistono diversi tipi di certificati SSL che possiamo suddividere in due categorie: certificati SSL gratuiti e a pagamento. La scelta del certificato SSL deriva dal tipo di progetto che si vuole creare.
Tutti i nostri piani dall’hosting condiviso, hosting WordPress fino a soluzione dedicate come VPS cloud hosting e server dedicati, includono un certificato SSL gratuito di Let’s Encrypt. Il certificato viene installato e attivato automaticamente entro 24 ore dall’attivazione dell’account e i successivi rinnovi sono automatici.
In alcuni casi potresti voler attivare il certificato prima delle 24 ore, per farlo puoi seguire il nostro tutorial su come installare il certificato SSL gratis.
In alcuni casi potresti voler utilizzare i certificati SSL a pagamento, ad esempio nel caso in cui tu voglia creare un sito ecommerce. Per questo è bene conoscere le differenze tra questi diversi tipi di certificato.
I certificati SSL domain validation si basano sulla convalida del dominio attraverso i DNS o via email.
I certificati organization validation offrono un livello di sicurezza aggiuntivo richiedendo anche la convalida dell’azienda o dell’organizzazione che richiede il certificato. Per procedere alla registrazione di questo tipo di certificato dovrai, quindi, inviare la documentazione necessaria.
Per finire i certificati extended validation sono quelli che ti consentono di avere la barra verde del browser e seguono alti standard di autenticazione. Questo tipo di certificato è quello che viene comunemente impiegato nei siti bancari.
Ricorda che se acquisti un certificato SSL a pagamento dovrai procedere all’attivazione, per farlo ti basta seguire il nostro tutorial passo passo su come installare un certificato SSL.
Certificato SSL non valido: l’errore nei diversi browser
Se ci sono problemi con il certificato SSL quando cerchi di accedere al sito, il browser ti avvisa che c’è un problema di sicurezza dovuto al certificato SSL non valido. Vediamo per prima cosa le principali forme in cui si presenta l’avviso sui diversi browser.
Google Chrome
Utilizzando Google Chrome l’errore di certificato SSL non valido apparirà come questo qui sotto e sarà accompagnato dall’avviso “La connessione non è privata”.
Nota che l’avviso di errore in caso di certificato SSL non valido può variare ed essere accompagnato da un diverso codice in base alla causa specifica. Ne parleremo successivamente quando analizzeremo le cause più comuni e come fare a risolvere.
In ogni caso l’avviso di sito non sicuro che vedi indicato nella schermata, non dipende necessariamente dal certificato, ma può avere altre cause come abbiamo visto in un altro articolo incentrato sulla risoluzione dell’errore sito non sicuro.
Mozilla Firefox
Se utilizzi Firefox l’avviso che ti indica la possibile presenza di certificato SSL non valido avrà un aspetto come questo e sarà accompagnato dall’avviso “Attenzione: potenziale rischio per la sicurezza”.
Anche in questo caso, come abbiamo visto per Chrome, l’avviso di certificato SSL non valido può essere accompagnato da un codice di errore specifico che ti permette di capire qual è il problema con il certificato SSL. Per visualizzare il codice di errore specifico su Firefox ti basta cliccare su Avanzate.
In questo esempio qui sopra l’avviso di certificato SSL non valido compare proprio perché il certificato è scaduto.
Microsoft Edge
Usando Microsoft Edge l’errore di certificato SSL non valido apparirà come questo qui di seguito e sarà accompagnato dall’avviso “La tua connessione non è privata”.
Subito sotto l’avviso potrai vedere un codice di errore che specifica la ragione per cui il browser ha rilevato un certificato SSL non valido. In questo esempio il problema è dovuto al fatto che il certificato è scaduto.
Certificato SSL non valido: le cause
Ci sono due categorie di errori che possono portare il browser a rilevare un certificato SSL non valido. Da una parte il problema può derivare da chi sta visitando il sito ed essere risolto agendo sulle impostazioni del computer o del browser utilizzato per navigare.
Dall’altra, invece, abbiamo i problemi veri e propri con il certificato SSL.
I problemi con il certificato SSL derivano da alcune ragioni principali:
- il sito non ha un certificato SSL installato
- il certificato SSL è scaduto
- il certificato SSL è autofirmato (self-signed)
- il certificato SSL non è valido (per esempio il nome del dominio che stai visitando non corrisponde a quello sul certificato).
Vediamo come risolvere il problema del certificato SSL non valido.
Certificato SSL non valido: risolvere lato utente
In alcuni casi il problema del certificato SSL non valido può derivare da configurazioni errate e coinvolgere ad esempio il browser dell’utente o le impostazioni del dispositivo utilizzato. Vediamo come procedere caso per caso.
Verificare data e ora
Ci sono casi in cui il certificato SSL del sito è valido, ma l’utente che cerca di visitare il sito si imbatte in un errore di certificato SSL non valido che fa sì che sia impossibile raggiungere il sito.
Se la data o l’orario del computer che stai utilizzando per collegarti al sito non sono corretti puoi imbatterti in un errore di questo tipo.
In genere in questo caso il browser potrebbe avvisarti direttamente di controllare data e ora del dispositivo.
Google Chrome ad esempio ci avvisa che l’orologio è indietro ed è impossibile stabilire una connessione privata con il sito.
Nota che il codice di errore associato al problema è ERR_CERT_DATE_INVALID, che come vedremo si verifica anche quando il certificato è scaduto.
Anche Mozilla Firefox ci comunica che l’orologio del computer è errato e il browser non può connettersi in modo sicuro.
Cliccando sul pulsante Avanzate ci viene specificata la data a partire dalla quale il certificato SSL del sito sarà valido. Il codice di errore MOZILLA_PKIX_ERROR_NOT_YET_VALID_CERTIFICATE è uno dei codici utilizzati proprio per avvisare un errore nella data o nell’ora del sistema.
Su Microsoft Edge l’errore appare in questo modo e ci avvisa che l’orologio è indietro. Anche in questo caso, come con Chrome, il codice di errore è ERR_CERT_DATE_INVALID.
In questo caso l’avviso del browser ci indica direttamente la soluzione da utilizzare per risolvere il problema e, sperare, quindi che l’avviso non compaia più.
Modificare data e ora su Windows 10
In questo caso quindi il problema non è effettivamente un certificato SSL non valido, ma un’impostazione errata del nostro computer che impedisce al browser di verificare la validità del certificato di sicurezza. In mancanza di una verifica adeguata, il browser quindi considera il certificato SSL non attendibile.
Per risolvere l’errore ci basta aggiornare data e ora del dispositivo.
Su Windows 10 ci basta fare click con il tasto destro sull’orario nella barra delle applicazioni in basso a destra e cliccare su Modifica data / ora.
Ci basta quindi attivare l’opzione Imposta data/ora automaticamente come vedi in questa schermata.
Aggiorna, quindi, la pagina che stavi cercando di visitare per assicurarti che il problema si sia risolto. In alcuni casi potrebbe essere necessario chiudere e riaprire il browser. Se l’errore di convalida dipendeva dalla data o dall’orario inesatto, non vedrai più l’avviso di certificato SSL non attendibile.
Cancellare la cache SSL
Un’altra ragione per cui è possibile imbattersi in un errore di certificato SSL non valido, malgrado il certificato del sito sia valido è il caso in cui le informazioni memorizzate nella cache SSL siano obsolete.
Per questo motivo uno dei metodi per escludere il problema è cancellare la cache SSL. Vediamo come fare con Windows 10.
Apri il pannello di controllo e clicca su Opzioni internet come vedi qui.
Clicca sulla scheda Contenuto per aprirla e clicca sul pulsante Cancella stato SSL.
Dopo aver completato tutti i passi riavvia il browser e prova a visitare nuovamente la pagina.
Certificato SSL non valido: come risolvere
Quando il problema del certificato SSL non valido si verifica sul tuo sito ci sono diversi metodi che puoi utilizzare per risolvere.
La prima cosa da fare è assicurarti che il certificato SSL del sito non sia scaduto.
Certificato SSL non valido: certificato scaduto o non ancora valido
Puoi verificare se il certificato SSL è valido direttamente dal browser.
Con Chrome ti basta cliccare sull’incona a forma di lucchetto, di i o di triangolo accanto alla barra degli indirizzi del browser e poi fare click su Certificato.
Nella nuova finestra vedrai il periodo di validità e la scadenza, qui di seguito ti mostro un esempio di certificato valido.
Se il certificato è scaduto o non è ancora valido (il periodo di validità è successivo alla data corrente) vedrai un avviso come questo nelle informazioni sul certificato.
Con Firefox se il browser rileva un certificato SSL non valido ti basta cliccare sul pulsante Avanzate per vedere il codice di errore relativo. Nel caso in cui il certificato sia scaduto vedrai un errore come questo qui.
Se vuoi verificare il periodo di validità di un certificato valido con Firefox fai click sull’icona a forma di lucchetto accanto alla barra degli indirizzi e poi clicca su Connessione sicura.
Clicca quindi su Ulteriori informazioni.
Si aprirà la finestra di informazioni sulla pagina e alla scheda Sicurezza potrai verificare la data di scadenza del certificato SSL.
Certificato SSL non valido: certificato autofirmato
Quando utilizzi un certificato SSL autofirmato (self-signed) i browser non possono verificarne l’autenticità. Questo significa che il browser rileverà un certificato SSL non valido e mostrerà un avviso per indicare il problema agli utenti.
Per prima cosa vediamo come si presenta l’errore in questi casi sui diversi browser.
Su Chrome l’errore comparirà con un avviso come questo che ci informa che la connessione non è privata. Il codice errore associato nel caso di certificato SSL autofirmato è ERR_CERT_AUTHORITY_INVALID.
Su Firefox comparirà un avviso “Attenzione: potenziale rischio per la sicurezza”.
Cliccando su Avanzate possiamo verificare i dettagli del problema, in questo caso Firefox ci avvisa direttamente che “Il certificato non è attendibile in quanto autofirmato”, problema a cui assegna il codice errore: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT.
Quando cerchiamo di visitare un sito con certificato SSL autofirmato, Edge ci comunica “La tua connessione non è privata”. Anche in questo caso il codice errore è ERR_CERT_AUTHORITY_INVALID.
I certificati autofirmati possono essere utilizzati durante le fasi di sviluppo o di test del sito, per esempio mentre sviluppiamo il sito in localhost. Come avevamo precisato all’inizio dell’articolo, i certificati SSL sono considerati validi quando sono stati firmati da un ente certificato (CA). Vediamo come verificare con Chrome qual è l’ente che ha rilasciato il certificato.
Clicca sull’icona accanto all’indirizzo, se la pagina presenta un errore di certificato SSL non valido, l’icona sarà rappresentata da un triangolo rosso e dalla scritta Non sicuro. Fai quindi click su Certificato.
Si aprirà una finestra che ti mostra le informazioni sul certificato SSL del sito. Nella scheda Generale ti vengono mostrate le informazioni principali ovvero il periodo di validità, a chi è stato rilasciato il certificato e qual è l’ente che lo ha rilasciato.
In questa schermata ti mostro un esempio in cui il certificato SSL è autofirmato.
Certificato SSL non valido: certificato non corrisponde al dominio
Quando non c’è corrispondenza tra il dominio e il certificato si verifica un errore perché il browser considera il certificato SSL non valido.
Questo può succedere quando ci sono più varianti del nome a dominio (esempio versione con www e senza) che non sono però coperte dal certificato.
Se il sito è raggiungibile attraverso diversi nomi di dominio devi utilizzare un attributo Subject Alternative DNS Name (Nome alternativo soggetto) per specificarli.
Nota: Affinché il certificato sia valido anche sui sottodomini deve essere wildcard. Alcuni hosting come WP Engine includono in alcuni piani solo certificati SSL validi su singolo dominio. In questi casi i sottodomini non saranno coperti dal certificato.
Quando non c’è corrispondenza tra il nome nel certificato e il nome del dominio il browser può segnalare l’errore err_ssl_version_or_cipher_mismatch.Certificato con algoritmo hash SHA-1
Se il certificato del sito utilizza un algoritmo debole ti troverai davanti all’errore di certificato SSL non valido.
Su Chrome aprendo la scheda Avanzate vedrai un avviso come questo in cui viene specificato che il certificato sta utilizzando un tipo di crittografia non più supportata. Un esempio è dato dall’algoritmo hash SHA-1 che non viene più supportato dal 2017.
Strumenti per verificare la validità del certificato SSL
Puoi verificare se un certificato SSL è valido, se è installato correttamente e anche se si tratta di un certificato autofirmato con uno di questi due strumenti.
In realtà come abbiamo visto nei paragrafi precedenti, puoi trovare la maggior parte delle informazioni sul certificato direttamente dai dettagli del browser, tuttavia ci sono casi in cui risulta più immediato effettuare la verifica con questi strumenti.
SSL Server Test di SSL Labs
Lo strumento di SSL Labs è gratuito e può essere usato per verificare la validità del certificato.
Con questo strumento puoi identificare alcuni dei problemi responsabili dell’errore certificato SSL non valido. Per esempio potresti riscontrare la presenza di un certificato autofirmato come in questo caso.
SSL Checker di SSL Shopper
Puoi controllare la validità e la data di scadenza del certificato SSL con lo strumento gratuito di SSL Shopper.
Anche in questo caso ti vengono fornite informazioni aggiuntive, ad esempio lo strumento ti avvisa se il certificato sta utilizzando un algoritmo obsoleto come vedi in questo caso.
Per approfondire ulteriormente puoi anche leggere la nostra guida dedicata alla verifica della validità e all’esecuzione di un test su un certificato SSL.
Conclusioni
Abbiamo visto che quando il browser rileva un certificato SSL non valido informa gli utenti che cercano di raggiungere il sito con un avviso. Questo avviso cambia da un browser all’altro, ma in sostanza il suo messaggio è sempre lo stesso e invoglia l’utente a lasciare il sito perché la connessione non è sicura.
I problemi del certificato di sicurezza possono dipendere dalla validità del certificato SSL. Il caso più comune è quello in cui il certificato è semplicemente scaduto senza che il proprietario del sito se ne sia accorto e lo abbia rinnovato in tempo.
Tuttavia l’errore può presentarsi anche se il certificato SSL non è configurato correttamente o per problemi che riguardano il browser o il dispositivo utilizzato da chi sta navigando. Abbiamo esaminato caso per caso le possibili cause e visto i diversi modi per risolvere.
Sei riuscito a identificare il problema? Qual era la causa dell’errore nel tuo caso? Fammi sapere con un commento.
Lascia un commento