Certificati SSL EV: L’equivalente in sicurezza di un WC d’oro

Pubblicato: di Dallas Kashuba
Certificati SSL EV: L’equivalente in sicurezza di un WC d’oro thumbnail

Se fosse il 2010, ti direi di acquistare un certificato SSL di Validazione Estesa (EV).

All’epoca, i certificati EV rendevano verde la barra degli indirizzi, mostravano il nome legale dell’azienda nella barra degli URL e visualizzavano un lucchetto visibile che confermava l’autenticità di un sito.

Screenshot del certificato SSL EV Thawte visualizzato in diversi browser

Ma non siamo nel 2010. E gli EV SSL sono più che superati ora.

Oggi, pagare per un SSL è come comprare un gabinetto d’oro. Stesso risultato, molto più costoso.

Cosa Facevano Effettivamente i Certificati EV (e Perché Era Importante)

I certificati di Validazione di Base del Dominio (DV) che vedi oggi verificano solo un dominio di tua proprietà. Chiunque può ottenere uno di questi certificati.

I certificati di Validazione Estesa richiedono una verifica aziendale approfondita. Considera documenti legali, telefonate, conferma dell’indirizzo e prova che la tua azienda è reale e operativa.

Il processo può richiedere giorni o settimane e comporta una verifica umana ad ogni passaggio.

Il risultato finale è stato il nome della tua azienda visualizzato nel browser come in questo esempio di Comodo (che è un importante fornitore di certificati SSL).

Immagine affiancata dell'interfaccia del browser prima e dopo le modifiche visive EV SSL — il nome della compagnia e la barra verde sono stati rimossi, sostituiti con una semplice visualizzazione URL.

Ma come puoi vedere ora, anche Comodo non mostra alcun indicatore di un EV SSL.

Ricevi contenuti direttamente nella tua casella di posta

Iscriviti ora per ricevere tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

Cosa Rende Ora una Cattiva Scelta i Certificati SSL EV?

La caratteristica principale che rendeva preziosi i certificati EV erano gli indicatori visivi. E i browser sono stati la forza trainante dietro la loro rimozione.

Il Cambiamento Che Ha Compromesso i Certificati EV

Dopo il 2015, i certificati SSL sono diventati lo standard per i siti web.

L’icona del lucchetto è diventata più un’aspettativa che un segnale di fiducia.

Per eliminare la ridondanza, Chrome ha rimosso la barra dell’URL di colore verde nel 2018 e ha sostituito l’icona del lucchetto con l’icona della melodia nel 2023. Firefox ha eliminato gli indicatori EV nel 2019 e altri browser hanno seguito l’esempio.

Qualsiasi sito web senza un certificato SSL valido è stato contrassegnato come “Non Sicuro”.

Le persone dovevano cliccare su “Avanzate” e “Procedi comunque al sito (non sicuro)” prima di poter visualizzare un tale sito web.

Confronto dell'interfaccia del browser prima e dopo le modifiche visive EV SSL — il nome della compagnia e la barra verde sono stati rimossi, sostituiti da una semplice visualizzazione dell'URL.

Con ciò, il valore aggiunto dei certificati EV SSL si è dissolto. Tuttavia, si vedono ancora aziende che li vendono come se nulla fosse cambiato!

I Browser Hanno Anche Scoperto che l’EV Non Aiuta

La rimozione degli indizi visivi non è stata arbitraria. Era supportata dalla ricerca.

La barra URL verde sembrerebbe preziosa negli screenshot ravvicinati.

Ma quando il team di sicurezza di Google ha studiato se la verifica costosa forniva reali benefici per la sicurezza, hanno scoperto che “l’interfaccia utente EV non protegge gli utenti come previsto.”

Gli utenti non prendono decisioni di sicurezza diverse quando ci sono o meno indicatori EV. Mozilla ha raggiunto conclusioni simili dopo la propria ricerca.

La conclusione? Spendere per i certificati EV non si è tradotto in una migliore protezione da minacce reali, come il phishing o siti web dannosi.

La Maggior Parte Degli Utenti Non Vede Più Le Informazioni EV

Una volta rilasciati Chrome 77 e Firefox 70 nel corso del 2018, anche l’ultimo frammento di informazioni EV è stato nascosto.

Esempio di un certificato SSL valido in azione — il browser conferma che la connessione è sicura, spesso indicato con un'icona a forma di lucchetto.

Il nome dell’azienda, lo stato di validazione estesa, le informazioni commerciali verificate — tutto è stato messo sotto l’icona della melodia e richiedeva agli utenti di cliccare per visualizzare i dettagli del certificato.

Quindi, la maggior parte degli utenti non vedrebbe mai i dettagli EV che presumibilmente giustificano il prezzo premium.

Un Certificato è un Certificato — Tutti Forniscono la Stessa Cifratura

Il compito di un certificato SSL è di crittografare i dati che viaggiano dal browser del visitatore al server dell’azienda. Questo garantisce che i malintenzionati non possano spiare i dati.

Confronto visuale tra connessioni non sicure (HTTP) e sicure (HTTPS) — mostrando come i certificati SSL proteggono i dati in transito.

Qualsiasi certificato SSL può crittografare i dati allo stesso modo.

Gli algoritmi di crittografia sono identici: RSA-2048 per lo scambio di chiavi, SHA-256 per le firme digitali, AES per la crittografia simmetrica.

Il browser stabilisce lo stesso tunnel sicuro indipendentemente dall’autorità di certificazione che ha emesso il certificato o da quanto hai pagato per esso.

Se utilizzi un certificato SSL gratuito o un certificato di Validazione Estesa da 500$, la sicurezza effettiva che protegge i dati dei tuoi utenti è esattamente la stessa.

Con i certificati EV, stai solo pagando soldi per la documentazione extra senza alcun beneficio aggiuntivo.

Qual È L’Opzione Migliore Nel 2025 e Oltre?

Let’s Encrypt ha completamente rivoluzionato il mercato SSL rendendo i certificati gratuiti, automatizzati e altrettanto sicuri come le alternative costose. Ora, chiunque possieda un dominio può ottenere un certificato SSL.

Let’s Encrypt Domina il Mercato per una Ragione

Let’s Encrypt, il fornitore gratuito di certificati di convalida del dominio, controlla il 63% dell’intero mercato dei certificati SSL. Il resto del mercato è condiviso tra altri fornitori di SSL DV e EV.

La compagnia ha rilasciato oltre un miliardo di certificati entro il 2020.

Crescita costante nell'adozione SSL: Questo grafico evidenzia l'imponente aumento dei certificati SSL rilasciati quotidianamente da Let's Encrypt dal 2016 al 2025.
Fonte

E ora Let’s Encrypt emette oltre 7 milioni di nuovi certificati al giorno.

L’Automazione È Migliore Dei Processi Manuali

Mentre l’industria SSL vendeva costosi certificati con processi di verifica manuali che richiedevano giorni o settimane, Let’s Encrypt ha introdotto l’automazione e l’efficienza.

Il protocollo ACME consente di emettere, installare e rinnovare i certificati senza intervento umano, spesso in pochi minuti invece che giorni.

Questa automazione ha garantito sicurezza insieme alla comodità. Le autorità di certificazione SSL (CA) possono ora utilizzare certificati di durata più breve (ad esempio, 90 giorni).

Anche se un attaccante ottiene accesso alla chiave privata di una CA (la chiave che comunica al browser che si tratta di un certificato valido), essa sarà valida solo per 90 giorni, dopo i quali verrà generata una nuova chiave e le chiavi precedenti saranno considerate non valide.

Se 90 giorni sembrano molti, i fornitori di SSL stanno già prendendo provvedimenti per ridurli ulteriormente.

Le Brevi Durate Di Vita Rendono Quasi Impossibile La Verifica Manuale

L’industria SSL sta procedendo verso periodi di validità dei certificati ancora più brevi.

La durata massima prevista sarà di 200 giorni entro il 2026, 100 giorni entro il 2027 e 47 giorni entro il 2029.

Immagina di dover passare attraverso il processo di verifica manuale EV — con documenti legali, chiamate telefoniche e verifica aziendale — ogni 47 giorni. Il solo sovraccarico amministrativo sarebbe schiacciante, rendendoli così non più vantaggiosi.

Probabilmente questo spiega perché ci sono solo 21.000 siti web con un certificato EV nel 2025.

I Certificati di Validazione del Dominio (DV) Sono Generalmente Tutto Ciò Che Ti Serve

I certificati di Validazione del Dominio (sia gratuiti che a pagamento) offrono diversi vantaggi rispetto ai costosi certificati EV.

  • Crittografia identica: I tuoi utenti ottengono la stessa sicurezza
  • Rinnovo automatico: Nessun rischio di interruzioni per scadenza
  • Implementazione più rapida: Minuti invece di giorni o settimane
  • Nessun onere amministrativo: Nessuna documentazione, chiamate telefoniche o verifica aziendale
  • Prova del futuro: Progettato per la riduzione della durata dei certificati che avverrà nel 2029

I certificati SSL DV gratuiti come Let’s Encrypt e CloudFlare offrono lo stesso livello di protezione degli altri certificati. Se è tutto ciò di cui hai bisogno, scegli un certificato gratuito.

Per grandi organizzazioni o imprese di e-commerce che necessitano di supporto clienti, date di scadenza prolungate e sigilli di sicurezza per costruire fiducia, un certificato SSL DV firmato professionalmente è la scelta giusta.

Le Grandi Aziende Utilizzano Certificati EV e Sono Davvero Necessari?

Se i certificati EV fossero davvero necessari per la sicurezza e la fiducia, ti aspetteresti che le maggiori aziende li usassero.

Non lo fanno.

Anche Amazon, Netflix e Walmart Usano Certificati Gratuiti

Troy Hunt, il creatore di Have I Been Pwned ha condiviso un tweet quando Chrome ha iniziato a sperimentare la rimozione dell’indicatore EV dal browser nella prima metà del 2018.

Questo tweet evidenzia il declino della visibilità degli EV SSL—il cambiamento di Chrome nel non mostrare più i nomi delle organizzazioni nella barra degli indirizzi segnala una mossa più ampia verso indicatori semplificati, solo con lucchetto.
Fonte

Amazon, Netflix, Walmart, eBay, Target, Best Buy: aziende con budget di sicurezza illimitati, team di esperti e milioni di clienti che inseriscono quotidianamente informazioni sensibili — tutte utilizzano certificati di Validazione del Dominio standard.

Quando Shopify e Amazon elaborano miliardi di transazioni utilizzando certificati SSL gratuiti, da cosa esattamente i venditori di certificati EV affermano di proteggerti rispetto a un certificato gratuito?

Queste aziende non stanno tralasciando la sicurezza. Stanno semplicemente utilizzando certificati che offrono la stessa identica cifratura senza l’inutile sovraccarico di documentazione e costi.

Ha Senso Economico Pagare per i Certificati EV?

L’economia dei certificati EV non quadra quando si analizza ciò che si ottiene effettivamente.

Stai Pagando per l’Interesse Proprio dell’Industria

Il Certificate Authority Browser Forum stabilisce gli standard del settore, ma è sostanzialmente una coalizione di fornitori di certificati che formulano regole per vendere certificati più costosi.

Un redditor che ha affermato di aver lavorato per un’autorità di certificazione ha risposto alla domanda: “Qual è il senso degli SSL certificate di fascia alta?”

Hanno affermato che non c’è differenza tra un SSL di alta gamma e uno normale. È solo un modo per le autorità di certificazione di venderti più certificati.

Questo commento su Reddit evidenzia un crescente scetticismo: molti considerano i certificati SSL, soprattutto quelli premium, più un affare che una protezione, con poca differenza pratica in termini di sicurezza.

Questo crea evidenti conflitti di interesse quando le stesse aziende che vendono certificati costosi stanno scrivendo le regole su quando i certificati costosi sono “necessari”.

Quelle Garanzie Da Milioni Di Dollari Sono Strategie Di Marketing

Le certificazioni EV includono garanzie, generalmente comprese tra $10,000 e $2 milioni, a seconda del tipo di certificato. Queste garanzie presumibilmente ti proteggono nel caso in cui l’autorità di certificazione commetta errori che portino a violazioni della sicurezza.

Ma secondo esperti come Troy Hunt, queste garanzie sono sempre state solo trucchi di marketing.

Scott Helme, il fondatore di Report URI, ha anche menzionato tre scenari coperti da queste garanzie.

Dichiarazione di Scott Helme, fondatore di Report URI, riguardo alle garanzie dei certificati

Ma nessuno di questi scenari porta effettivamente a presentare un reclamo. Per cominciare, un certificato non può essere emesso senza informazioni valide, quindi il primo punto è immediatamente escluso. Il secondo e il terzo sono altrettanto infondati.

Consiglio di leggere l’articolo di Scott così come l’articolo di Troy per avere una comprensione più chiara del perché anch’io li considero semplici trucchi di marketing.

Hai Mai Bisogno Di Un Certificato EV?

Nonostante tutto ciò di cui abbiamo parlato sopra, i certificati EV hanno alcuna utilità.

Ecco alcune situazioni specifiche in cui dovresti ricorrere ai certificati EV.

  • Istituzioni Finanziarie Soggette A Normative Rigorose: Alcuni quadri di conformità, come il PCI DSS o specifiche normative bancarie, richiedono certificati EV. Se il tuo regolatore lo richiede, non hai scelta.
  • Apparecchiature IT Legacy: Alcuni sistemi più vecchi, in particolare l’hardware aziendale dei primi anni 2000, non riconoscono i certificati radice di Let’s Encrypt. Questo è sempre più raro man mano che i vecchi sistemi vengono sostituiti.
  • Politiche Aziendali Che Richiedono Tipi Specifici Di Certificati: Alcune grandi aziende hanno politiche interne che impongono certificati EV per i siti pubblici. Questo è solitamente più una questione di gestione del rischio aziendale che di sicurezza effettiva.
  • Firma Di Codice E Documenti: Let’s Encrypt emette solo certificati DV. Se devi firmare download di software o documenti, avrai bisogno di certificati provenienti da autorità di certificazione tradizionali.

Per la stragrande maggioranza dei siti web come blog, negozi e-commerce, applicazioni SaaS, siti di marketing e la maggior parte dei siti aziendali, un certificato EV non offre vantaggi significativi rispetto alle alternative gratuite.

Dovresti Semplicemente Ottenere Certificati Gratuiti e Proseguire?

Secondo me, la risposta è un sì deciso. Infatti, per il 99% dei siti web, la risposta è sì.

Ecco perché:

Il Mercato Ha Già Deciso

I certificati di Validazione del Dominio costituiscono la maggior parte del mercato.

Grafico a torta che mostra che la maggior parte dell'uso SSL proviene da opzioni predefinite o gratuite come Let's Encrypt, con certificati a pagamento che costituiscono una piccola parte.

Secondo BuiltWith, ci sono oltre 258 milioni di certificati SSL su internet a partire da giugno 2025. La maggior parte sono gratuiti, automatizzati e offrono un’eccellente sicurezza.

Nota: Noterai che SSL By Default ha la quota maggiore qui. Tuttavia, anche Let’s Encrypt vende certificati SSL By Default. Quindi, anche se è mostrato separatamente, li considererei come un’unica entità.

Investi I Tuoi Soldi In Sicurezza Che Conta Davvero

Il tempo e i soldi che risparmi possono essere investiti in misure di sicurezza che contano davvero: migliore infrastruttura di hosting, monitoraggio della sicurezza, backup regolari, firewall per applicazioni web o test di penetrazione.

La maggior parte dei fornitori di hosting — come DreamHost — ora offre integrazione Let’s Encrypt con un solo clic. Se il tuo non lo fa, potrebbe essere il momento di trovare un fornitore di hosting che capisce che siamo nel 2025, non nel 2010.

Basta Pensarci Troppo, un DV SSL È Tutto Ciò Che Ti Serve

I certificati di Validazione Estesa sono soluzioni costose per problemi che possono essere per lo più risolti gratuitamente. Non mi riferisco alle industrie altamente regolamentate che necessitano di SSL EV — per il resto del mondo, uno SSL DV dovrebbe essere sufficiente.

La crittografia è identica, i browser hanno eliminato gli indicatori visivi e persino le più grandi aziende non li utilizzano.

Ecco cosa dovresti fare effettivamente:

  • Accedi al tuo pannello di controllo dell’hosting
  • Attiva SSL gratuito con un clic
  • Hai finito!

I tuoi utenti ricevono la stessa crittografia che protegge Amazon e Shopify.

Se il tuo host non offre un SSL gratuito, devi passare a un fornitore di hosting come DreamHost che lo offre!

Risparmia i tuoi soldi per sicurezze che contano davvero: backup, monitoraggio o un firewall di applicazioni web.

Questi proteggeranno il tuo sito web molto meglio di quanto non faccia pagare centinaia di euro all’anno per documenti premium.

Se preferisci affidare le questioni tecniche a un professionista, noi ti abbiamo coperto con i nostri servizi di gestione professionale del sito web!

Servizi Professionali – Gestione del Sito Web

Ci Occupiamo Noi delle Questioni Tecniche

Porta prestazioni e affidabilità di livello aziendale al tuo sito web. Lascia il backend agli esperti – tu concentrati sul tuo business.

Vedi di Più
Foto di Dallas Kashuba

Dallas Kashuba