Che Cos'è SSL/TLS?

In un’epoca in cui alcune delle nostre informazioni e transazioni più importanti risiedono online, garantire la sicurezza delle interazioni digitali è diventato fondamentale.

In questa guida adatta ai principianti (che non ha paura di approfondire!) demistificheremo i sistemi di base che operano dietro le quinte e che ogni proprietario o gestore di siti web deve conoscere per preservare la privacy degli utenti e la reputazione della loro attività.

Cos’è L’SSL?

SSL è l’acronimo di secure sockets layer. SSL è un protocollo per mantenere una connessione sicura e proteggere i dati sensibili per garantire la sicurezza degli utenti internet durante le transazioni online, le sequenze di accesso e altro ancora.

SSL è utilizzato in altri processi, come la protezione dei trasferimenti di file e la sicurezza delle applicazioni di posta elettronica, ma ci riferiremo principalmente a come influisce sulla sicurezza su Internet, dato che è lì che è diventato più riconosciuto.

Cos’è TLS?

La sicurezza del livello di trasporto (TLS) è il successore dello SSL attualmente in uso e gestisce le vulnerabilità in modo ancora più efficace.

L’SSL è Obsoleto?

SSL ha subito molte iterazioni da quando è stato introdotto decenni fa, nel tentativo di migliorare continuamente funzionalità e sicurezza. TLS è semplicemente una versione più protetta e più aggiornata di SSL.

In effetti, SSL e TLS si riferiscono alla stessa cosa. Tuttavia, al momento della stesura di questo testo, SSL è ancora il termine più utilizzato per il protocollo, quindi lo vedrai usare spesso — e noi lo menzioneremo frequentemente in questo articolo.

Come Appare SSL/TLS?

Quando un certificato SSL/TLS (ne parleremo più avanti) è presente e aggiornato su un sito web, dovresti vedere l’URL nella barra degli indirizzi iniziare con “HTTPS” invece di “HTTP”. Se non vedi l’URL completo, probabilmente apparirà se clicchi nella barra degli indirizzi. Alcuni browser scelgono di troncarlo per semplicità.

Dovresti anche vedere una piccola icona di un lucchetto verde — o talvolta di altri colori a seconda del browser — che precede l’URL quando viene utilizzato SSL/TLS.

Cosa Fa SSL/TLS?

SSL/TLS facilita una connessione sicura tra due sistemi. Questi possono essere un server e un client (ad esempio, un sito di shopping e un browser) o due server.

SSL/TLS utilizza la crittografia e coppie di chiavi crittografiche per verificare l’identità dei sistemi e impedire che i dati vengano condivisi con attori malevoli.

Questi dati includono:

• Dettagli finanziari come numeri di carte di credito, informazioni bancarie, ecc.
• Dati personali identificabili — nome completo, numero di previdenza sociale, indirizzo, data di nascita, ecc.
• Documenti legali sensibili
• Cartelle mediche private
• Informazioni confidenziali come dettagli sui clienti, segreti commerciali, ecc.
• Credenziali di accesso

Come Funziona SSL/TLS? Il Handshake SSL

Con tutte le basi pronte, entriamo nel cuore del funzionamento di SSL/TLS!

SSL/TLS funziona cifrando i dati durante la trasmissione per impedire ai hacker di accedervi mentre viaggiano attraverso una rete. Nomi, indirizzi, numeri di carte di credito e altre informazioni sono tra i fatti potenzialmente sensibili che SSL/TLS è utilizzato per proteggere.

Ecco un riassunto di base di come funziona:

1. Quando un utente avvia un processo protetto da SSL/TLS, come un acquisto su un sito web, il client (il browser dell’utente) invia un pacchetto di saluto al server del sito web. Questo pacchetto contiene un messaggio sulla transazione, il tipo di TLS, le suite di cifratura e un “client random”, che è una stringa di byte casuali.
2. Il server riceve questo messaggio e risponde con il proprio pacchetto di saluto, contenente una risposta al messaggio, il suo certificato SSL/TLS, la suite di cifratura e un “server random” — un’altra selezione di byte casuali.
3. Il client procede con un processo per autenticare il certificato SSL/TLS, che dimostra che il server è il servizio affidabile che sostiene di essere (cioè, non un hacker). Poi, invia qualcosa chiamato “premaster secret” che è codificato con la chiave pubblica del certificato SSL/TLS. L’idea è che il server dovrebbe avere una chiave privata, che può decodificare questo messaggio.
4. Se tutto procede correttamente, il server possiede effettivamente la chiave privata associata al certificato SSL/TLS e può decodificare il premaster secret. Dopo averlo fatto, il server crea una chiave di sessione e invia le informazioni al client.
5. Ora sia il client che il server inviano un messaggio di “conclusione” l’uno all’altro codificato con la chiave di sessione. Questo indica che una sessione sicura è aperta tra i due e qualsiasi dato condiviso durante essa dovrebbe essere sicuro e protetto.

Questa procedura è spesso chiamata stretta di mano SSL e avviene in pochi millisecondi.

Perché SSL/TLS è Importante?

La protezione SSL/TLS è necessaria sui siti web per molteplici motivi:

• Per proteggere le informazioni degli utenti
• Per costruire la fiducia dei clienti nel marchio
• Per validare la proprietà del sito web
• Per fermare persone e programmi malevoli che costruiscono una versione falsa del sito e sottraggono informazioni sensibili

Ogni volta che un sito web richiede che gli utenti effettuino l’accesso, chieda informazioni personali o fornisca accesso a contenuti privati — la sua capacità di mantenere la privacy per l’utente è fondamentale.

SSL/TLS contribuisce alla privacy delle comunicazioni online e rassicura i visitatori che un sito web è affidabile e sicuro.

Inoltre, i principali browser stanno per etichettare i siti web HTTP senza certificati SSL/TLS come “non sicuri.” Questo pone un enorme segnale di allarme per i visitatori e può spingerli rapidamente a chiudere e provare un altro sito web. Oggi, i siti web che non investono in SSL/TLS sono probabilmente a rischio di perdere traffico e ricavi.

Dovrei Disattivare SSL/TLS? Cosa Succede Se Lo Faccio?

In breve, come proprietario o amministratore di un sito web è quasi sempre meglio utilizzare SSL/TLS piuttosto che non farlo.

E questo è vero anche se non raccogli alcuna informazione sugli utenti sul tuo sito web.

Non solo SSL/TLS è fondamentale per la sicurezza dei dati, come abbiamo menzionato molte volte — è anche utile per impedire che il tuo sito web venga copiato da soggetti malintenzionati e per evitare quel terrificante messaggio “La tua connessione non è privata” che può spaventare molti utenti.

Alla fine del 2023, circa il 85% dei siti web utilizza SSL/TLS per garantire il loro stato HTTPS.

Cos’è Un Certificato SSL?

Ora, aggiungiamo un po’ di approfondimento al concetto di certificato SSL/TLS — che d’ora in poi abbrevieremo come certificato SSL — che abbiamo introdotto in precedenza.

Un certificato SSL è un certificato digitale emesso da un’autorità di certificazione (CA). Il suo compito è collegare l’identità del sito web a cui è stato rilasciato a una coppia di chiavi crittografiche — queste sono le chiavi pubblica e privata di cui abbiamo già parlato.

Oltre a supportare transazioni sicure tramite le sue chiavi, questi certificati sono utili anche per far conoscere agli utenti lo sfondo di un sito web e chi ne è il proprietario, così possono formarsi un’opinione sulla sua affidabilità.

Come utente, puoi controllare i dettagli di un certificato SSL cliccando sull’icona del lucchetto nella barra degli indirizzi. Le informazioni che puoi vedere qui possono includere:

• Il nome del dominio per il quale è stato emesso il certificato
• L’azienda o la persona a cui è stato rilasciato il certificato e da quale autorità di certificazione
• La firma digitale dell’autorità di certificazione e la chiave pubblica
• Quando il certificato è stato emesso e quando scade

Se qualche informazione del certificato sembra sospetta o non corrisponde al sito che stai visitando, sai che devi esaminare più attentamente prima di condividere qualsiasi informazione personale.

5 Tipi Di Certificati SSL

Ci sono diversi tipi di certificati SSL, con vari gradi di validazione.

Certificato SSL di Validazione Estesa (EV SSL)

I certificati SSL di validazione estesa (EV SSL) rappresentano il livello più alto e la forma più costosa di certificazione SSL.

Per ottenere questo livello di sicurezza, il richiedente deve sottoporsi a un processo di verifica dell’identità. È solitamente utilizzato da siti web che ospitano transazioni con carta di credito e raccolgono informazioni sensibili. Con un EV SSL, HTTPS e l’icona del lucchetto vengono visualizzati nella barra degli indirizzi insieme al nome e al paese dell’azienda certificata. Tutti questi dettagli supportano l’affidabilità di un sito.

Certificato SSL con Validazione dell’Organizzazione (OV SSL)

I certificati SSL validati dall’organizzazione (OV SSL) sono simili agli EV SSL nel processo di applicazione e nelle informazioni che mostrano nella barra degli indirizzi, sono solo un gradino più basso in termini di livello di sicurezza e di costo.

Gli OV SSL sono solitamente utilizzati da siti web commerciali o rivolti al pubblico per mostrare il loro impegno nel mantenere le informazioni confidenziali.

Certificato SSL con Validazione del Dominio (DV SSL)

I certificati SSL validati dal dominio (DV SSL) sono certificazioni meno sicure e meno rigorose (e anche meno costose!) spesso utilizzate da blog e altri siti informativi che non comportano raccolta di dati o pagamenti online.

Tipicamente, il processo di validazione richiede solo ai proprietari dei siti web di confermare la loro proprietà tramite email o telefono. Con questa certificazione, la barra degli indirizzi mostra di solito solo HTTPS e un’icona di lucchetto.

Certificato SSL Multi-Dominio (MD SSL)

I certificati SSL Multi-Dominio (MD SSL) sono anche conosciuti come certificati con nomi alternativi del soggetto (SAN) e certificati di comunicazione unificata (UCC).

Un certificato SSL MD può proteggere diversi domini di primo livello oltre che sottodomini  — pensa a en.domain.com, blog.domain.com, ecc. Il numero di elementi che coprirà è determinato dall’autorità di certificazione che lo emette.

Ogni proprietà che desideri proteggere con questa certificazione deve essere definita al momento del rilascio. Per aggiungerne altre, il titolare deve chiedere che sia aggiornata e rilasciata nuovamente dall’ente certificatore. Questa precauzione la rende più sicura rispetto all’opzione successiva.

Certificato SSL Wildcard

I certificati SSL Wildcard offrono sicurezza per un dominio e subdomini illimitati ad esso collegati.

Per i siti web con molti sottodomini, questa può essere una modalità rapida ed economica per garantire che ogni sezione del tuo sito sia automaticamente protetta da crittografia. Lo svantaggio è che se anche solo un sottodominio viene compromesso, anche altri sottodomini sotto lo stesso certificato Wildcard possono essere compromessi.

Come Ottenere Un Certificato SSL in 7 Passaggi

Se sei pronto a sfruttare la sicurezza che un certificato SSL può offrire, questi passaggi di base dovrebbero aiutare la maggior parte dei proprietari di siti web a ottenere la documentazione di cui hanno bisogno:

1. Scegli il Tuo Livello di Copertura SSL

Quanti domini e sottodomini vuoi proteggere? Quanta sicurezza hai bisogno? Utilizza la guida sopra ai tipi di certificati SSL per determinare quale tipo stai cercando.

2. Genera Una Richiesta Di Firma Certificato

Una richiesta di firma del certificato (CSR) è un file cifrato che contiene informazioni aziendali e di dominio così come le chiavi private e pubbliche di cui il tuo CA avrà bisogno per creare il tuo certificato.

Come generi una CSR varia a seconda della piattaforma su cui ti trovi, o dell’hosting del sito web con cui procedi. La maggior parte degli host ti permetterà di creare una CSR tramite il loro pannello di amministrazione. Ecco come i clienti di DreamHost possono creare una CSR.

Se preferisci provare ad affrontare questo passaggio senza l’aiuto dell’host, questa guida potrebbe aiutarti a individuare i passaggi specifici che devi seguire.

3. Acquista Il Tuo Certificato Tramite Un’Autorità Di Certificazione

Il tuo prossimo passo è cercare una CA affidabile da cui acquistare il tuo certificato SSL. Ci sono molte opzioni, tra cui:

• letsencrypt.org
• sectigo.com
• verisign.com

Qualunque fornitore tu scelga, il loro sito web dovrebbe guidarti nella selezione del tipo di certificato SSL, nella presentazione della tua CSR e nel completamento dell’acquisto.

I clienti di DreamHost possono ottenere un certificato SSL — gratuito o a pagamento — tramite il pannello cliente. Scopri come qui.

4. Completa La Convalida (Se Necessario)

Se hai scelto un tipo di certificato altamente sicuro che richiede di dimostrare la tua identità e/o la proprietà del sito web, il tuo CA ti fornirà i passaggi da seguire per fornire la validazione.

5. Installa Il Tuo Nuovo Certificato SSL

Se tutto sta procedendo secondo i piani, ora dovresti essere in grado di scaricare i file del certificato forniti dal tuo CA. Ora è il momento di installarlo sul tuo sito web.

Questo è un altro passaggio che può variare notevolmente in base alla piattaforma del tuo sito web, al tuo fornitore di hosting e anche al tipo di certificato che hai scelto. Contatta il tuo fornitore di hosting o accedi al pannello cliente del tuo host di siti web e cerca qualcosa chiamato “impostazioni SSL/TLS” o “gestore SSL/TLS” e segui i passaggi per installare i file che hai scaricato.

O, se preferisci farlo da solo, DigiCert ha un’altra guida per aiutarti a navigare nella maggior parte delle piattaforme.

Per gli utenti di WordPress, l’installazione della certificazione SSL può essere gestita utilizzando un plugin come Really Simple SSL. I clienti DreamHost possono aggiungere un certificato SSL di terze parti seguendo queste istruzioni.

Correlato: Cos’è Un Plugin?

6. Testa la Tua Installazione SSL

Per verificare che il tuo certificato sia installato correttamente e funzioni adeguatamente, cerca su Google la frase “SSL checker tool” per trovare una piattaforma che eseguirà un’analisi rapida per te. Anche il CA che hai utilizzato potrebbe avere uno strumento di verifica SSL sul proprio sito web.

7. Reindirizza URL HTTP

Infine, devi reindirizzare tutti gli URL HTTP verso URL HTTPS dopo aver installato il tuo certificato SSL per garantire che gli utenti accedano solo alla versione più sicura del tuo sito web.

DreamHost reindirizza automaticamente i visitatori alla versione HTTPS del tuo sito non appena aggiungi un certificato SSL, e altri host di siti web potrebbero fare lo stesso.

Se questa non è un’opzione per te e hai bisogno di aggiornare il tuo server manualmente, abbiamo delle istruzioni per accedere a un server Apache o Nginx per forzare un reindirizzamento qui.

Per gli utenti di WordPress, se hai utilizzato un plugin di installazione SSL potrebbe includere anche servizi di migrazione da HTTP a HTTPS. In caso contrario, Redirection o un altro plugin potrebbero essere di grande aiuto qui.

Correlato: Cos’è Un Reindirizzamento?

I Certificati SSL Scadono?

Sì, i certificati SSL scadono.

Per il Certificate Authority/Browser Forum, che regola tutto ciò che riguarda gli SSL, i certificati dovrebbero scadere dopo circa 13 mesi. Questa decisione è stata presa in risposta ad Apple che ha dichiarato che non avrebbe più accettato certificati con periodi di validità di due anni — che erano la norma. Quando scade il tuo dipende dalla CA che ha fornito il tuo SSL.

La certificazione SSL scade a causa della rapida evoluzione di internet. Le normative che influenzano la raccolta dei dati cambiano frequentemente, le aziende e i siti web cambiano proprietario e le vecchie coppie di chiavi diventano meno sicure man mano che gli hacker diventano più avanzati. La ricertificazione offre ai proprietari dei siti web la possibilità di aggiornare la loro sicurezza e alle CA il tempo di rivedere le informazioni associate al certificato per assicurarsi che tutto sia corretto.

Quando un certificato SSL scade e il sito web non è più protetto da questo protocollo di sicurezza, il browser mostrerà un avviso per informare gli utenti che il sito non è sicuro e di procedere con cautela.

Ovviamente, la scadenza di un SSL non arriva dal nulla. La CA da cui hai ottenuto la tua documentazione invierà una notifica quando è il momento di rinnovare. Di solito iniziano circa 90 giorni prima della scadenza, e ti consigliamo di agire non appena le ricevi. E assicurati di iscriverti per ricevere queste notifiche su un indirizzo email che sai che controllerai sempre e a cui avrai accesso.

Come Rinnovare il Tuo Certificato SSL

Con molti fornitori di certificazioni SSL, i passaggi per aggiornare il tuo certificato SSL sono gli stessi di quelli necessari per ottenerne uno per la prima volta. Quindi dovrai generare un CSR, acquistare un certificato SSL da un CA, completare tutte le verifiche richieste, e installare e testare il tuo certificato.

Detto ciò, molti fornitori di SSL e host di siti web stanno iniziando ad automatizzare il più possibile questo processo. Quindi, potresti non dover seguire tutti i passaggi ogni volta — ma è utile sapere che tipo di manutenzione potresti avere da gestire quando consideri la certificazione SSL e la manutenzione del tuo sito web.

Correlato: Come Risolvere i Problemi Comuni di SSL in WordPress 

Scegli Un Host Web Che Supporti I Tuoi Obiettivi Di Sicurezza

Fortunatamente, garantire l’esperienza utente online e infondere fiducia nel tuo marchio con la copertura SSL/TLS è un processo abbastanza accessibile. Tuttavia, ciò non significa che ogni proprietario di sito web avrà il desiderio o il tempo di non solo trovare la migliore opzione di certificazione SSL, ma anche di installarla e mantenerla anno dopo anno.

Se preferisci concentrarti sull’aspetto commerciale, il team dei servizi professionali di gestione dei siti web di DreamHost può supportare i tuoi obiettivi di sicurezza ed esperienza gestendo tutto, dalle piccole aggiornamenti alla ripresa da attacchi hacker, migrazione di link, e completa amministrazione e monitoraggio del sito web.