Let's Encrypt: cosa sapere sui certificati SSL gratuiti

Se ti stai chiedendo cos'è Let's Encrypt, che tipo di certificati SSL emette e come ottenere un certificato gratuito sei nel posto giusto.

Let's Encrypt è ad oggi la più grande autorità di certificazione, ma cosa l'ha spinta a diventare la realtà attuale?

Ottenere un certificato SSL gratuito oggi è semplice, ma non è sempre stato così. Ripercorriamo la storia di cui Let's Encrypt è stata protagonista e scopriamo tutto quello che c'è da sapere sui certificati SSL emessi da questa organizzazione.

Cos'è e come nasce Let's Encrypt

Let's Encrypt è un'autorità di certificazione creata con l'obiettivo di favorire l'adozione del protocollo HTTPS. A partire dal 2015, anno della sua fondazione, Let's Encrypt si è evoluta fino a diventare la più grande autorità di certificazione del mondo.

Nel 2019 Let's Encrypt ha raggiunto la quota di 538 milioni di certificati emessi per 223 milioni di nomi di dominio, a febbraio 2020 il numero di certificati emessi ha raggiunto 1 miliardo e, come riportato nel report annuale, nel novembre 2022 la quota è arrivata a 3 miliardi.

L'obiettivo di Let's Encrypt è fornire dei certificati digitali che consentano di utilizzare il protocollo HTTPS sui siti web.

Prima della nascita di organizzazioni come questa, il processo per ottenere un certificato SSL era ben lontano dall'essere semplice. Si doveva utilizzare un programma per generare delle chiavi e seguire delle procedure manuali per dare prova di essere i proprietari del dominio, dopodiché era richiesto un pagamento a un'autorità di certificazione.

Let's Encrypt nasce proprio con lo scopo di semplificare queste operazioni che costituivano un ostacolo all'adozione del protocollo HTTPS. Si tratta, infatti, della prima autorità di certificazione che ha abbracciato un processo completamente automatico per la generazione di certificati che non richiedono nessun passaggio manuale.

Il passaggio a un sistema completamente automatico ha dato due grossi vantaggi:

• risparmio di tempo, se prima richiedere un certificato richiedeva anche diversi giorni affinché l'autorità di certificazione verificasse tutti i passaggi, ora ottenere un certificato è pressoché istantaneo;
• eliminazione degli errori, attraverso la configurazione manuale c'era il rischio di errori che potevano portare a vulnerabilità di sicurezza.

Nel 2012 Alex Halderman dell'Università del Michigan e Peter Eckersley dell'Electronic Frontier Foundation (EFF) stavano lavorando a un protocollo che permettesse di emettere e rinnovare i certificati in automatico.

Contemporaneamente Josh Aas e Eric Rescorla di Mozilla erano al lavoro per creare un'autorità di certificazione gratuita e automatica. Da qui l'unione dei due gruppi nel maggio 2013 che portò alla fondazione dell'Internet Security Research Group (ISRG).

Dalla nascita dell'ISRG non passò molto tempo per arrivare alle prime pietre miliari:

• nel novembre 2014 viene annunciata pubblicamente la nascita di Let's Encrypt;
• nel settembre 2015 viene emesso il primo certificato per il dominio helloworld.letsencrypt.org;
• nell'ottobre 2015 riceve il cross-signing da IdenTrust, da questo momento i principali browser riconoscono i certificati emessi da Let's Encrypt;
• da dicembre 2015 Let's Encrypt inizia a fornire il suo servizio lanciando la beta;
• nell'aprile 2016 finisce la fase di beta del servizio, in questa prima fase sono stati emessi 1,7 milioni di certificati.

Come funziona Let's Encrypt?

Per capire come funziona il certificato emesso da Let's Encrypt bisogna comprendere cosa succede quando usiamo un client, il browser, per accedere a un sito web.

Quando visitiamo un sito internet, il browser che stiamo usando cerca di identificare il sito e per farlo utilizza il certificato SSL.

Nella pratica attraverso il protocollo TLS/SSL prima che la connessione venga avviata, il client, vale a dire il browser, procede con la convalida del certificato in questo modo:

• verifica che nel certificato ci sia corrispondenza con il nome host;
• controlla che il certificato sia firmato da un'autorità di certificazione tra quelle riconosciute.

Se il certificato viene trovato ed è valido, il browser invia una comunicazione crittografata al server. Quest'ultimo può decrittografare il messaggio grazie alla corrispondenza tra chiave pubblica e privata, rispondere al browser e avviare, così, una sessione crittografata SSL.

L'autorità di certificazione, per esempio Let's Encrypt, deve prima validare il dominio per poter emettere un certificato. La validazione del dominio serve all'autorità di certificazione per assicurarsi che la richiesta provenga dal proprietario del dominio.

Let's Encrypt utilizza il protocollo ACME e può eseguire la validazione in diversi modi, ad esempio richiedendo al proprietario del dominio l'inserimento di un token in un record DNS associato a quel dominio.

Come vedremo quando parleremo di come generare un certificato SSL, questa procedura di validazione può essere completata in automatico se si sceglie un hosting che offre un supporto integrato.

Certificato gratuito di Let's Encrypt: una panoramica

Let's Encrypt rilascia certificati SSL/TLS del tipo Domain Validation (DV).

Questi certificati hanno una validità di 90 giorni e possono essere rinnovati quando mancano 30 giorni alla scadenza.

Vediamo alcune domande frequenti che possono aiutarci a capire meglio che caratteristiche ha il certificato gratuito di Let's Encrypt.

Quanti tipi di certificato esistono?

Esistono diversi tipi di certificato:

• domain validation, a convalida di dominio o anche detto certificato DV;
• organizazion validation, con convalida dell'organizzazione, noto anche come OV;
• extend validation, a convalida estesa, conosciuto anche con la sigla EV.

I certificati DV sono il tipo di certificato SSL di base più semplice da ottenere. Let's Encrypt rilascia solo certificati di questo tipo. Si tratta di un certificato che si basa, come dice il nome stesso, sulla validazione del dominio. All'interno del certificato sarà quindi inserito il nome del dominio per cui è valido. È importante notare che un singolo certificato può essere anche valido per più nomi di dominio e può essere anche wildcard e coprire il singolo dominio e tutti i sottodomini.

I certificati OV oltre a convalidare il dominio, richiedono dei controlli anche sull'azienda. Per richiedere questo tipo di certificato, quindi, non dovrai solo confermare di possedere il nome del dominio per cui stai richiedendo il certificato, ma dare prova anche di aver registrato l'azienda o l'organizzazione.

Per finire ci sono i certificati EV, si tratta del tipo di certificazione più elevata che esista. Oltre ad effettuare un controllo sulla proprietà del dominio e dell'azienda, includono anche delle validazioni aggiuntive. A differenza degli altri casi che abbiamo appena visto, i siti web che hanno ottenuto un certificato EV saranno contraddistinti da una barra degli indirizzi verde (green bar).

Scopri i certificati SSL disponibili su SupportHost a partire da 18€ all'anno.

Il certificato gratuito di Let's Encrypt è adatto per tutti i siti web?

Per siti che processano informazioni di pagamento come gli eCommerce, può essere preferibile usare un certificato con una validazione maggiore come OV o EV, rispetto a un certificato DV (come quello emesso da Let's Encrypt).

Questi tipi di certificato in genere includono anche delle garanzia nel caso in cui ci siano violazioni dei dati, per questo sono preferibili nei casi in cui ci siano transazioni di denaro all'interno dei siti.

Puoi seguire il nostro tutorial per installare un certificato SSL diverso da quello di Let's Encrypt.

Quali sono i vantaggi del certificato offerto da Let's Encrypt?

I certificati SSL di Let's Encrypt ci assicurano diversi vantaggi.

Il certificato è gratuito, alla base dei valori di Let's Encrypt c'è sempre stato l'intento di fornire un certificato a costo zero per accelerare l'adozione globale del protocollo HTTPS.

L'intero processo è automatico, per Let's Encrypt è importantissimo automatizzare i rinnovi. Poter contare su un processo di rinnovo automatico del certificato esclude gli errori umani e riduce notevolmente la possibilità che il certificato possa scadere senza essere rinnovato.

Generare il certificato è semplice e veloce, il processo di richiesta è semplicissimo e non richiede passaggi aggiuntivi come conferma dell'email o pagamenti.

Come faccio a passare da http a https?

Oltre a installare il certificato, devi assicurarti di forzare l'utilizzo del protocollo HTTPS, in modo che tutte le connessioni avvengano con questa connessione invece che con il protocollo standard HTTP.

Sul nostro blog trovi una guida creata appositamente per passare da HTTP a HTTPS con WordPress (c'è anche un video tutorial per mostrarti come fare).

Che tipo di compatibilità con i browser garantisce il certificato di Let's Encrypt?

Prima del settembre 2021, i certificati di Let's Encrypt venivano riconosciuti dai browser grazie al cross-signing "DST Root CA X3" da parte di IdenTrust.

A partire da settembre 2021 utilizzano un nuovo certificato root chiamato "ISRG Root X1" e riconosciuto dalla maggior parte dei browser e dei dispositivi (puoi trovare sul loro sito la lista delle compatibilità).

Qual è la crittografia usata?

Let's Encrypt rilascia certificati crittografati tramite algoritmo RSA con crittografia a 2048 bit.

Come funziona il rinnovo del certificato di Let's Encrypt?

I certificati gratuiti di Let's Encrypt sono predisposti per essere rinnovati in automatico.

Con SupportHost la funzione di rinnovo automatico è abilitata, per cui non dovrai fare nessuna operazione manuale: prima della scadenza il tuo certificato SSL si rinnoverà in automatico.

Il certificato di Let's Encrypt si può usare con tutti gli hosting?

No, se l'hosting non è compatibile con il protocollo ACME potresti avere problemi a utilizzare il certificato di Let's Encrypt. Per esempio non si può usare Let’s Encrypt su GoDaddy in maniera automatica. Visto che GoDaddy non supporta il protocollo ACME, non si può procedere con l'installazione e il rinnovo automatico del certificato.

Le alternative in questo caso sono: usare un certificato diverso o usare Let's Encrypt tenendo presente che dovrai rinnovare il certificato manualmente di volta in volta. In molti casi è più semplice cambiare hosting che dover rinunciare alla comodità di avere il certificato che si rinnova in automatico.

Let's Encrypt sconsiglia di utilizzare i loro certificati su hosting che non offrono supporto visto che ci sono alte probabilità di dimenticarsi di procedere con il rinnovo manuale.

Cosa succede se un sito ha il certificato non valido?

Se il certificato non è valido, quando cerchi di visitare un sito web, il browser ti mostrerà un avviso insieme alla dicitura "non sicuro" nella barra degli indirizzi.

Puoi leggere la nostra guida per identificare e risolvere i problemi legati al certificato SSL non valido.

Come generare il certificato di Let's Encrypt

Se il tuo sito web è ospitato con SupportHost, generare il certificato gratuito di Let's Encrypt è davvero facile.

Tutti i nostri piani hosting compreso l'hosting condiviso e i piani hosting su misura per WordPress, includono il certificato gratuito emesso da Let's Encrypt.

La procedura è completamente automatizzata:

i nostri sistemi effettuano una verifica e se il dominio punta correttamente al server, generano il certificato in automatico alle ore 01:00 (ora italiana).

In alcuni casi potresti dover generare il certificato di Let's Encrypt manualmente, ad esempio se il sistema non lo ha ancora generato in automatico e vuoi accorciare i tempi.

Per generarlo manualmente da cPanel ti basta seguire questi passi:

1. effettua l'accesso a cPanel;
2. clicca su SSL/TLS Status;
3. fai click su Run AutoSSL.

Puoi seguire la procedura dettagliata nel nostro tutorial su come ottenere il certificato SSL gratis.

Come generare il certificato di Let's Encrypt su server dedicati e piani VPS cloud

Se hai un piano unmanaged VPS cloud hosting o un server dedicato unmanaged, puoi installare il certificato SSL in autonomia.

Ci sono diversi client ACME che puoi utilizzare, quello più conosciuto e consigliato da Let's Encrypt stesso è Certbot. Sul sito di Certbot puoi trovare tutte le indicazioni in base al web server e al sistema operativo che utilizzi.

Con i piani managed di SupportHost, invece, hai un servizio completamente gestito. Il nostro servizio include anche l'installazione di Let's Encrypt. In questo caso non hai bisogno di installare il client, ma provvediamo noi a generare il certificato per te proprio come se avessi un piano condiviso.

Conclusioni

Come hai visto la fondazione di Let's Encrypt ha costituito una vera e propria svolta e contribuito a favorire l'adozione del protocollo HTTPS per una navigazione più sicura. Abbiamo visto come è nata Let's Encrypt e i passi da gigante che le hanno permesso di superare la soglia di 3 miliardi di certificati generati.

Sul tema certificati SSL vorticano sempre molte domande e dubbi: un certificato gratuito è sempre la soluzione giusta? Cosa succede alla scadenza? Come funzionano i rinnovi? Abbiamo raccolto tutte queste domande per darti una panoramica completa sui certificati SSL con particolare attenzione riguardo a quelli gratuiti emessi da Let's Encrypt.

Hai ancora domande sui certificati SSL di Let's Encrypt? Faccelo sapere con un commento.