I certificati SSL

I certificati SSL

Quando si decide di realizza un sito web, un blog o un e-commerce, uno degli aspetti a cui prestare maggiore attenzione è la sicurezza. Offrire agli internauti uno spazio virtuale sicuro, in cui possano navigare e, se richiesto, condividere dati sensibili senza correre il rischio che vengano intercettati da qualche malintenzionato, è il trampolino di lancio verso il successo.

Per rendere un sito sicuro e garantire il rispetto della privacy dell’utente, è necessario ricorrere ai certificati SSL/TLS, il cui utilizzo viene premiato anche dai motori di ricerca, Google in primis, il quale posiziona gli spazi web sicuri in cima alla SERP. Al contrario, oltre ad essere penalizzati, i siti che non utilizzano i protocolli di sicurezza vengono segnalati agli utenti come “poco sicuri”, spingendoli a cercare altrove le informazioni di cui hanno bisogno.

https

Che cosa sono i certificati SSL

I certificati SSL, acronimo di Secure Sockets Layer, sono dei protocolli generati per la prima volta nel 1995, i quali garantiscono una navigazione privata e sicura grazie alla crittografia dei dati.

Prima di tale data, la navigazione sul web avveniva in chiaro e tutti potevano accedere senza difficoltà ai dati trasmessi; questo rendeva molto pericoloso ad esempio effettuare acquisti con carta di credito o inviare dati sensibili.

Il loro utilizzo su un sito può essere individuato facilmente anche dagli utenti meno esperti; basta infatti verificare se il tipo di connessione dello spazio che si sta per visitare è di tipo HTTP, ossia Hypertext Transfer Protocol, o HTTPS, dove la “s” sta per Secure e indica proprio l’utilizzo dei certificati SSL o TLS. Nella barra degli indirizzi, di fianco all’url, è inoltre possibile notare la presenza di un lucchetto, il quale serve per segnalare la presenza di un sito web con certificato di sicurezza.

Come funzionano

I Secure Sockets Layer, così come i più recenti Transport Layer Security, sono protocolli standard disponibili in vari versioni, i quali impediscono, tramite connessione cifrata e crittografia dei dati in entrata e in uscita, che i dati sensibili degli utenti vengano intercettati da estranei.

Semplificando molto, il procedimento è il seguente: quando un utente digita un url o clicca su un link per visitare una pagina web, il suo browser si mette in contatto con il server che ospita il sito. A questo punto, il server invia il certificato di sicurezza al computer dell’utente, il quale, dopo averne verificato la validità, accetta la connessione e dà il via al passaggio crittografato di dati.

Il processo avviene in pochissimi istanti, tanto che l’utente finale non ha modo di accorgersi di nulla, a meno che il certificato non risulti “non valido”; in tal caso, la connessione non potrà proseguire e l’utente visualizzerà un messaggio che lo informerà del problema riscontrato. Un errore di questo tipo può indicare che il sito web sotto attacco hacker o è stato creato per rubare i dati degli utenti, ma anche che il certificato SSL è scaduto.

Perché è importante proteggere il sito con i certificati SSL

Proteggere il proprio sito web con i protocolli SSL/TLS non è solo utile, ma è oggi indispensabile. I vantaggi offerti dall’utilizzo dei protocolli sono:

  • la fiducia degli utenti: l’utente che visita un sito web sicuro, sarà più propenso non solo a visitarlo nuovamente, ma anche a effettuare azioni, come pagamenti con carte di credito o compilazione di form, che prevedono l’invio di dati sensibili;
  • il posizionamento sui motori di ricerca: come è stato anticipato nell’introduzione, i motori di ricerca premiano i siti con protocollo HTTPS e penalizzano gli altri. Google ad esempio segnala in rosso i siti privi di certificato SSL/TLS e li segnala come “non sicuri”.

L’utilizzo dei certificati SSL è dunque sempre importante, ma lo diventa ancora di più in caso di e-commerce, pagine di contatto, siti web con aree personali che richiedono l’effettuazione del login, siti aziendali e spazi virtuali frequentati da tantissimi utenti.

Certificati SSL: non sono tutti uguali

Fino a qui si è parlato dei certificati SSL in modo generico, ma attenzione: ne esistono vari tipi ed è fondamentale scegliere quello più adatto alle caratteristiche del proprio spazio virtuale.

Per prima cosa, è possibile distinguere tre tipologie di certificati SSL che differiscono tra loro per il livello di sicurezza e protezione dati:

  • DV o Domain Validated: è il certificato di base che viene rilasciato dalla Certificate Authority, ossia dall’ente abilitato a emettere i certificati, la quale effettua solo la convalida del dominio, senza verificare l’identità del proprietario. Veloce da ottenere, non richiede l’invio di documentazioni particolari e consente di offrire agli utenti un sito web certificato e sufficientemente. Ideale per la maggior parte dei siti che non trattano dati sensibili e per le aziende che ancora non possono permettersi certificati più costosi;
  • OV o Organization Validated: il certificato con livello medio di sicurezza, oltre a convalidare il dominio, verifica anche l’identità del proprietario dello stesso, assicurandosi che l’attività venga svolta legalmente. Per l’attivazione sono richiesti alcuni giorni. Si tratta del certificato perfetto per i siti web che permettono agli utenti di registrarsi e di disporre di uno spazio personale;
  • EV o Extended Validation: si tratta del certificato SSL/TLS più completo e sicuro, ma anche del più costoso. Perfetto per chi desidera offrire ai propri utenti un livello di sicurezza completo, ideale anche per effettuare acquisti in tutta sicurezza e scambiare dati sensibili, richiede diversi giorni per l’attivazione in quanto il CA effettua svariati controlli prima del rilascio del certificato.

Oltre che per il livello di sicurezza, i certificati SSL si distinguono anche per il numero di domini o sottodomini che proteggono; in particolare vi sono:

  • Single Domain, i quali coprono un solo dominio o un solo sottodominio;
  • WildCard Domain, pensati per proteggere un dominio principale e tutti i sottodomini ad esso collegati;
  • SSL UCC per domini multipli, ideali per proteggere con un unico certificato più domini, con relativi sottodomini, appartenenti tutti al medesimo proprietario.

VHosting permette ai propri clienti di scegliere, in base alle proprie esigenze, tra certificati SSL DV per singolo dominio o sottodomini e certificati SSL WildCard, perfetti per chi dispone di siti più complessi, dotati di vari sottodomini.

Certificati SSL gratuiti, esistono?

Let's Encrypt - Certificato gratuitoChi non ha grandi esigenze e desidera semplicemente proteggere il proprio sito web per regalare ai visitatori un’esperienza di navigazione sicura e soddisfacente, può ricorrere ai certificati SSL gratuiti.

Tutti i nostri piani di hosting vengono forniti con i certificati SSL gratuiti Let’s Encrypt che, pur non raggiungendo i livelli di sicurezza garantiti da quelli a pagamento, permettono anche a chi possiede un semplice sito personale di disporre di uno spazio di navigazione dotato di connessione crittografata.

Let’s Encrypt è un progetto CA open source che permette di ottenere una connessione di rete di tipo HTTPS gratuitamente grazie alla generazione automatica di certificati con validazione del dominio, ma senza controllo dell’identità o garanzie anti-frode, i quali hanno una durata di 90 giorni.

Date le sue caratteristiche, è sconsigliato per chi possiede un e-commerce o un sito che ospita o richiede molti dati personali; in questi casi, è sempre meglio puntare su soluzioni a pagamento con livelli di sicurezza via via più elevati.