I certificati SSL per Server Dedicati e Siti Web, spiegati al mio criceto

Certificati SSL? Criceti? Aspetta, se ti stavi chiedendo che razza di titolo ho usato per il post ti spiego subito il motivo: due settimane fa mi hanno regalato un criceto e non riuscivo a scegliere un titolo adatto.

Guida ai certificati SSL per siti web e server dedicati

L’ispirazione mi è arrivata quando ho pensato che per introdurre un argomento così tosto dovevo per forza pensare a come scriverlo per renderlo digeribile alla maggior parte dei lettori, compreso il mio criceto.

I certificati SSL sono fondamentali per siti web e server dedicati. Se vuoi scoprire cosa sono e come funzionano, non ti resta altro che continuare a leggere!

Ultimo aggiornamento: 30 Ottobre 2017

Certificati SSL Symantec e Google Chrome, che cosa cambia a partire dal 2018?

Certificati SSL SYmantec non validi su Google Chrome. A partire dal 2018.
Certificati SSL Symantec non più validi su Google Chrome. A partire dal 2018.

Gli utenti più smaliziati e gli Sviluppatori Web avranno notato che Chrome sta segnalando quanto segue sulla console del browser (tasto F12):

The certificate used to load https://unbounce.com/ uses an SSL certificate that will be distrusted in an upcoming release of Chrome. Once distrusted, users will be prevented from loading this resource. See https://g.co/chrome/symantecpkicerts for more information.

Questo succede per diversi siti web, tutti quelli che utilizzano un certificato SSL Symantec. Alcuni li riconoscerai sicuramente:

The certificate used to load https://mailchimp.com/ uses an SSL certificate that will be distrusted in an upcoming release of Chrome. Once distrusted, users will be prevented from loading this resource. See https://g.co/chrome/symantecpkicerts for more information

Che cosa sta succedendo?

In breve:

I certificati SSL Symantec rilasciati prima di Giugno 2016 verrano invalidati su Chrome.

Questo per te significa che se hai acquistato un certificato SSL Symantec prima di Giugno 2016 Chrome non lo riconoscerà più come valido. E mostrerà un’allerta. Questo succederà a partire dal 15 Marzo 2018.

Perchè tutto questo?

Nel corso degli anni il team di Google ha rilevato che Symantec non sempre ha seguito procedure corrette per il rilascio dei certificati SSL. Non in una ma in diverse e numerose occasioni.

Questo ha significato una perdita di credibilità per Symantec agli occhi del team di Google Chrome.

Dopo una lunga e attenta discussione Google ha deciso di revocare la fiducia a Symantec, obbligando la società a cedere l’infrastruttura PKI.

A partire da Dicembre 2017 infatti, tutti i nuovi certificati rilasciati da Symantec porteranno la firma di Digicert. E l’approvazione di Google Chrome.

Ecco quindi che cosa devi fare:

  1. se il tuo certificato SSL Symantec scade prima di Marzo 2018, ottimo. Puoi scegliere di cambiare fornitore, oppure rimanere con Symantec. Al prossimo rinnovo sarai a posto perchè il nuovo certificato verrà rilasciato direttamente da Digicert per conto di Symantec.
  2. se il tuo certificato SSL Symantec scade dopo il 15 Marzo 2018 devi ri-generarlo per evitare problemi. Questo attraverso l’area clienti Symantec, oppure acquistando un nuovo certificato presso un fornitore diverso.

Certificati SSL per siti web e server dedicati, un’introduzione

I certificati SSL non sono commestibili ma ce ne sono per tutti i gusti. Sicuramente ne avrai già visto uno da qualche parte ma non hai ancora scoperto a che cosa serva realmente.

Se lavori con il web prima o poi dovrai scontrarti con l’argomento “certificati SSL“. Questa brutta bestia infatti è obbligatoria per gli e-commerce (o almeno dovrebbe esserlo), è richiesta per le app di terze parti che interagiscono con Facebook ed è una cosa indispensabile quando vuoi aumentare la sicurezza e la percezione di affidabilità verso il tuo cliente.

Inoltre, dal 1 Ottobre 2017 Chrome ha iniziato a segnalare come non sicuri tutti i siti web privi di un certificato SSL che contengano un form per l’inserimento dei dati (un campo password ad esempio, oppure un form per l’inserimento del numero di carta di credito).

Ma cominciamo dalle basi. Il tuo primo incontro con i certificati SSL è avvenuto chissà quanto tempo fa ma non te ne sei mai accorto. La crittografia infatti è una cosa magica che lavora nell’ombra per la tua sicurezza, senza che la sua presenza possa essere scomoda o ingombrante.

Usi Gmail? Ogni volta che ti colleghi alla tua casella di posta elettronica usando il browser sicuramente noti quel piccolo lucchetto nella barra dell’indirizzo. Li dietro c’è un certificato SSL che fa da intermediario tra te e Google. Il certificato SSL è una sorta di garanzia che viene rilasciata dalla cosidette autorità certificatrici.

In pratica l’autorità che emette il certificato ti sta garantendo che l’organizzazione con cui stai “parlando” attraverso il browser è realmente chi dice di essere. Il termine tecnico per definire l’autorità certificatrice è CA (certification authority).

Quando Google richiede un certificato SSL ad una CA fa più o meno così: “Salve, sono Matt Cutts e chiamo da Google. Avrei bisogno di un certificato digitale per gli utenti cinesi. Ho bisogno di un wildcard, entro quanto tempo è pronto?”. La CA risponde più o meno così: “Buongiorno Matt, grazie per averci contattati. Per richiedere il certificato deve fornirci i documenti che attestano l’esistenza della società, può fare un fax al… Il certificato per google.cn sarà pronto entro qualche giorno”.

Ovviamente il dialogo è di fantasia ma serve a farti comprendere cosa significa richiedere un certificato SSL e qual’è la reale funzione di questo aggeggio. Ho introdotto anche un termine particolare, “wildcard“. Tienilo a mente perchè ne parlerò più a fondo fra poco.

Google Vertificato Ssl

Certificati SSL, a che cosa servono realmente?

La funzione di un certificatonon è solo quella di garantire sull’affidabilità e sull’esistenza di un soggetto ma anche quella di criptare tutto il flusso di comunicazione che intercorre tra te ed il tuo interlocutore virtuale.

Devi sapere infatti che le comunicazioni di rete in chiaro possono essere spiate. Ti basti pensare alla storia delle reti WiFi senza password. Una comunicazione crittografata invece non può (almeno teoricamente) essere spiata, e tutti i dati che transitano dal tuo pc verso Google, e viceversa non possono essere “visti” ad occhio nudo.

La questione è molto più complessa delle frasi che sto utilizzando per spiegarla ma per il momento va bene così. L’esperienza di un navigatore con i certificati SSL praticamente si conclude con quel semplice lucchetto nel browser, mentre per chi sta dall’altra parte la storia continua.

Se ti trovi dietro al monitor e fai spesso acquisti online controlla sempre che nella barra degli indirizzi ci sia il simbolo del lucchetto ogni qual volta accedi alle pagine di un sito che richiede dati sensibili come ad esempio le informazioni di pagamento. La connessione SSL è la garanzia che i tuoi dati sono al sicuro e che il venditore virtuale con cui stai per concludere l’affare è verificato.

Per gli addetti ai lavori i certificati SSL sono il pane quotidiano. E non parlo solo dei cervelloni. Sto parlando anche di te che hai messo online un e-commerce di casette per criceti. Quando qualcuno arriva sul tuo e-commerce devi fare in modo che i dati scambiati via browser tra cliente e sito web non possano essere spiati da nessuno.

Per questo motivo devi dotarti di un certificato SSL. Quindi più o meno fai come Matt Cutts, chiami l’autorità certificatrice ed ordini il tuo bel certificato. Fortunatamente i certificati SSL nella maggior parte dei casi vengono attivati in modo automatico, basteranno un paio di ore per ottenere il tuo.

Ma prima di ordinarlo avrai sicuramente delle domande a cui vorrai trovare una risposta. Ed ecco che arrivo io a salvarti.

Certificati SSL autofirmati e certificati validati da CA

La prima grande distinzione da fare è quella tra certificati autofirmati e certificati validati da una CA.

I primi sono dei certificati che in pratica puoi utilizzare solo a scopo di test e per nient’altro. Possono crittografare il traffico HTTP ma mostrano il classico avviso di “sito non attendibile” nella maggior parte dei browser, e questo non è molto elegante.

I certificati validati invece permettono di godere di molti vantaggi tra cui quello di essere riconosciuti dal 99% dei browser che accetterano automaticamente il certificato senza mostrare allerte all’utente. Questi ultimi sono la scelta obbligata per il tuo e-commerce di casette per criceti. E non solo.

I certificati SSL sono ormai quasi insostituibili soprattutto se offri un servizio di webmail o di hosting. Comprare un certificato SSL per mettere in sicurezza la webmail che vendi ai tuoi clienti è assolutamente d’obbligo e contribuisce ad accrescere la fiducia che ispiri nei confronti del tuo cliente.

Certificati SSL Wildcard e certificati Single Domain

La seconda grande differenza che distingue i vari tipi di certificati SSL è la divisione tra Wildcard e Single domain.

Una delle domande più frequenti sui certificati SSL è: “un certificato vale per tutti i domini oppure devo comprarne più di uno?”. La risposta è che ogni certificato SSL vale per un solo dominio quindi basta comprarne uno a patto che non ti serva per “coprire” anche i sottodomini di quest’ultimo.

Mi spiego meglio. Se ad esempio vuoi attivare un certificato SSL per il dominio www.pippo.com esso sarà valido solo e strettamente per www.pippo.com e non ad esempio per negozio.pippo.com. Per “coprire” tutti i sottodomini infatti devi acquistare un certificato particolare che si chiama wildcard.

Il wildcard serve a dotare della crittografia SSL tutti i sottodomini legati a quello principale come ad esempio negozio.pippo.com, clienti.pippo.com, sito.pippo.com, posta.pippo.com e criceto.pippo.com (non posso farci niente, da quando ho il criceto non penso ad altro) oltre ovviamente a www.pippo.com e pippo.com senza www.

Il certificato SSL Single Domain invece è valido solo per 1 dominio quindi potrai utilizzarlo per www.pippo.com ma non per posta.pippo.com. Tutto chiaro? Ma torniamo al mio cric.. certificato.

Certificati SSL Domain Validated ed Organization Validated

In poche parole.

Domain Validated: la CA ti fornisce un certificato sulla fiducia, basandosi solo sul nome a dominio che inserisci nel modulo di richiesta

Organization Validated: ci sono delle scartoffie da inviare alla CA per dimostrare che l’azienda esiste davvero

Questa è la terza distinzione che caratterizza i certificati SSL. Poco fa quando ho fatto parlare magicamente Matt Cutts, la CA voleva dei documenti che attestassero l’esistenza della società Google.

Quindi Matt voleva acquistare un certificato Organization Validated che per tanti versi è più prestigioso di un Domain Validated e soprattutto fornisce maggiore garanzia ai navigatori. Un certificato SSL OV/EV viene generato più lentamente di un certificato DV. In questo caso l’autorità certificatrice dopo aver ricevuto la richiesta di “issuing” del certificato contatta l’azienda che lo ha richiesto ed acquisisce la documentazione che attesta la reale esistenza dell’entità oltre a verificare materialmente che questa società esista davvero.

Per contro i certificati OV/EV sono più laboriosi da ottenere rispetto a quelli Domain Validated. Questi ultimi infatti vengono creati nel giro di poche ore e spediti via email a chi ne ha fatto richiesta.

La differenza, oltre che nelle maggiori garanzie degli OV/EV sta anche nel maggior costo rispetto ai DV. Ad ogni modo i certificati Domain Validated non vengono dati letteralmente sulla parola ma il richiedente deve comunque essere sottoposto ad una verifica che molto spesso consiste in un’email inviata al contatto amministrativo del dominio per il quale è stato richiesto il certificato. La procedura di issuing verrà portata a termine solo facendo clic sul link contenuto nell’email di conferma.

Certificati autogenerati

Aiuto! Quella connessione non è affidabile!

Come ti dicevo prima la principale differenza che separa i certificati SSL è quella tra certificati autofirmati e certificati validati.

Quando attivi un nuovo server dedicato o un pannello di controllo hosting potresti incontrare uno spaventoso avviso alla prima connessione: “Questa connessione non è affidabile!”.

Non c’è niente di cui aver paura. I server dedicati freschi di installazione nascono infatti con dei certificati autogenerati che ovviamente non vengono riconosciuti. Per proseguire ti basterà aggiungere un’eccezione nel browser.

Ovviamente per evitare che questo avviso compaia anche quando i tuoi clienti visitano la webmail del tuo server dovrai dotarti molto presto di un certificato validato. E qui dovrai scegliere tra un certificato Single Domain oppure Wildcard o tra un Domain Validated oppure Organization Validated.

Scelta e installazione di un certificato SSL

Quando sarai pronto ed avrai scelto il tuo certificato SSL verrà il momento di installarlo sul tuo server dedicato. Al giorno d’oggi tutti i pannelli di controllo hosting hanno delle procedure guidate per l’installazione di un certificato SSL, qualcosa che ormai è alla portata di tutti.

Ad esempio Plesk, WHM/Cpanel, Virtualmin e Directadmin mettono a disposizione dei plugin per integrare l’acquisto e l’installazione dei certificati SSL. Gli stessi offrono anche la possibilità di richiedere ed installare certificati gratuiti con Let’s Encrypt.

Let's Encrypt Logo
Let’s Encrypt è un’autorità certificatrice open che mette a disposizione certificati SSL gratuiti

Ma per qualsiasi difficoltà puoi sempre fare un fischio.

Ho installato il certificato SSL sul mio sito ma Chrome mi segnala che la connessione non è completamente protetta

Se hai installato un certificato SSL per il tuo sito web ma hai ancora problemi di connessione, è molto probabile che ci sia un errore di mixed content.

Chrome e Firefox infatti considerano non sicura una connessione che non sia completamente servita sotto SSL e ti avvertiranno che la comunicazione tra client e server non è protetta.

Chrome connessione non completamente protetta

Per scoprire se è questo il tuo problema, apri la console del browser con F12 e dai un’occhiata nella sezione Console. Dovresti vedere questo errore:

Mixed Content: The page at […] was loaded over HTTPS, but requested an insecure image […]. This content should also be served over HTTPS.”

La soluzione è semplice: individua le immagini o gli assets che non vengono serviti attraverso SSL e correggi il problema:

  • se usi WordPress o Joomla devi fare in modo che il tema carichi tutte le immagini, i CSS ed eventuale Javascript esclusivamente via SSL. Questo generalmente richiede qualche clic sulla configurazione del tema
  • se hai creato le pagine con HTML e CSS, senza usare nè WordPress nè Joomla è sufficiente cercare le risorse interessate e modificare l’attributo src per le immagini o i link stylesheet per i CSS

Certificati SSL: quanto costano?

Quando le persone indecise vogliono acquistare qualcosa online generalmente si pongono queste due domande:

  1. posso spendere di meno?
  2. e’ veramente indispensabile?

Nel caso dei certificati SSL la prima risposta è dipende.

Se scegli un certificato gratuito Let’s Encrypt la spesa sarà pari a zero. Un certificato Let’s Encrypt garantisce lo stesso livello di protezione di un certificato a pagamento ma ovviamente è meno prestigioso di un certificato Organization Validated.

La seconda risposta è si, il certificato SSL è veramente indispensabile.

Se sei un consumatore devi “pretendere” che i tuoi dati finanziari transitino su una connessione SSL degna di questo nome.

Se sei un venditore devi offrire la stessa sicurezza al tuo cliente. Allo stesso tempo il certificato SSL è un investimento che non puoi nè snobbare nè tantomeno sperare di risparmiarci sopra.

Grazie per aver letto! Alla prossima.

 

The following two tabs change content below.

Valentino Gagliardi

IT Consultant / Developer Coach / Trainer a ServerManaged.it
IT Consultant / Developer Coach / Trainer

23 pensieri riguardo “I certificati SSL per Server Dedicati e Siti Web, spiegati al mio criceto”

  1. Ciao Valentino,

    ho letto con attenzione il tuo “trattato” sul SSL, tutto molto chiaro, ma avrei una domanda:
    Il mio sito è ospitato presso un Hosting ove pago spazio e dominio, ovviamente compare l’antipatico messaggio prima di entrarci, ti chiedo se sono obbligato a comprarlo da loro (60Euro/Anno!) o come ho visto in giro ne basta uno + semplice (7-10Euro/Anno).
    Premetto che il mio sito è semplicemente un archivio grafico di copertini di live CD/LP/Tape degli U2 collezionati in 30 anni per cui nulla di complesso o di rischioso.
    Ti ringrazio comunque per quello che hai riportato qui e se avrai 1 prezioso secondo del tuo tempo da dedicarmi te ne sarò grato.

    Saluti

    Andrea Fiori (BO).

    PS: Sono anche io su Linkedin.

  2. Ho letto il tuo interessante articolo e vorrei chiederti un chiarimento.

    la mia azienda ha il sito web e la posta presso un provider.

    internamente abbiamo installato un mail server che scarica la posta dal provider ogni 5 minuti e gli utenti da outlook a dalla webmail si collegano direttament al nostro mailserver.

    quando usiamo la webmail da esterno in https abbiamo il problema che ci appare l’errore del certificato ub quanto è autogenerato.

    finalmente arrivo alla domanda: io comprerei un certificato ma quando accedo alla webmail accedo tramite l’indirizzo della mia adsl oppure tramite un dyndns. in questo caso posso comprare il mio certificato ma per quale dominio visto che il mio è in mano al provider ?

    spero di essere stato chiaro

  3. Grande articolo, scritto con leggerezza ma molto chiaro. Non annoia e si legge bene.
    Ne approfitto per fare una domandina, che ne pensi del servizio Https di Cloudlfare?

  4. Ciao Filippo, grazie per l’apprezzamento. In merito a Cloudflare, beh, vai a colpo sicuro. A presto!

  5. La regola dice di “prima chiedere”, poi “fare”.
    Chiedo scusa, ma ho fatto l’esatto opposto segnalando e linkando nel mio sito questo articolo.
    Colgo l’occasione per sviolinare complimenti.

    Lorenzo

  6. Devo dire un post molto piacevole; in poche righe fai un quadro molto chiaro ed utile, soprattutto ad un neofita. L’idea del criceto è poi simpaticissima… Buon lavoro! alessandro

  7. complimenti,ho capito cos’è un certificato SSL. Ora ,mentre mangio i miei semini di girasole mi chiedo: ma che non si SSL il nome del criceto?

  8. Grazie per la spiegazione, ma credo che sia solo WEBMAFIA, ho diversi e-commerce, tutti sappiamo che i pagamento con carta di credito vengono reindirizzati sul sito di PAYPAL, quindi perchè mi devi obbligare a comprare un certificato SSL + dimentichi IP STATICO che è d’obbligo per installazione del certificato ! In pratica prima un sito costava 100 euro ora te ne costa 300 !! Moltiplicato per tutti gli e-commerce presenti fa un bel gruzzoletto … inoltre ti sei mai chiesto di chi sono le famose CA (certification authority) ? 5 anni fa queste cose non esistevano.. ti spacci come consulente di GNU/LINUX … Richard Stallman sarebbe molto contrariato .
    In parole povere nel 2016 Google mi obbliga per usare il Merchant center ad avere un certificato SSL nel sito… peccato che ci sono milioni di siti truffa , che funzionano e che non vengono mai chiusi , ennesimo pizzo da imporre alla povera gente onesta che paga e lavora.

  9. Grazie per il commento. Rispetto la tua opinione ma credo che la realta’ dei fatti sia un po’ diversa. Ti ricordo comunque che sui server che supportano SNI, non e’ necessario avere un ip statico/dedicato per ogni sito. A presto!

  10. Ciao Valentino, innanzitutto grazie per la spiegazione.
    Ti scrivo per avere un consiglio, un mese fa circa fa PayPal ci ha dato delle date entro le quali dovremo aggiornare il sistema a:
    – Aggiornamento Certificato SSL a SHA-256
    – Aggiornamento TLS 1.2 e HTTP/1.1.
    Il nostro sito è su server A…. e sinceramente finora hanno funzionato benissimo, ma sui quali non è possibile installare il certificato SSL e ci dovremo sostare su A… Business. Ormai è un mese che cerchiamo di andare avanti e adattarci ai nuovi standard ma anche al call centre quando esponiamo la situazione sembrano cadere dal pero. Cambio hosting o passo a PayMill che non ci richiede le certificazioni? Perché da come scrivi nell’articolo queste certificazioni sono indispensabili. Se vuoi puoi scrivermi anche alla mia email. Grazie

  11. Ciao Fabio e grazie per il commento.
    In linea di massima, tutte le piu’ recenti versioni dei sistemi operativi Linux (do per scontato che il vostro sito sia su un hosting/server Linux) supportano TLS 1.2, senza necessita’ di ulteriori modifiche. Per testare la connessione verso i server di Paypal e’ sufficiente fare login via ssh sulla shell (se attiva) e lanciare una richiesta http con curl:

    $ curl –tlsv1.2 https://tlstest.paypal.com/
    PayPal_Connection_OK

    in caso di successo, Paypal rispondera’ con un PayPal_Connection_OK. Tengo a precisare comunque, dal momento che le richieste verso Paypal partono sempre attraverso il codice PHP che fa girare il sito web, e’ necessario verificare con il vostro developer ed assicurarsi che le richieste http lanciate verso Paypal al momento del pagamento, vengano incapsulate con TLS 1.2. In ogni caso ripeto, con le versioni piu’ recenti di PHP e SO Linux, non dovrebbero essere richieste ulteriori modifiche. Per quanto riguarda invece il passaggio del certificato SSL verso SHA-256, e’ sufficiente specificare la richiesta al momento dell’acquisto. Le autorita’ di certificazione SSL comunque rilasciano ormai quasi esclusivamente certificati con SHA-256.
    A presto!

  12. Grazie per la splendida lezione. Ti sarei grato se mi potessi rispondere a due domande:
    La polizia di stato ha un sito “portale alloggiati” e per l’uso fornisce un certificato ad ogni utente. Io voglio gestire due appartamenti, uno di mia proprietà ed uno di mia moglie e, pertanto, ho installato due certificati sul mio PC: uno mio ed uno di mia moglie.
    La prima volta che mi connetto, appena accendo il PC, usando Chrome, il sito mi chiede quale certificato voglio usare. Io lo scelgo e tutto funziona. Dalla volta successiva Chrome non me lo chiede più e non ho ho possibilità di modificarlo e quindi accedere con l’altra login e password.
    A parte la maniera “pedestre” di realizzare il software, c’è qualche modo per costringere Chrome a chiedere sempre il certificato da utilizzare? Ti ringrazio anticipatamente per l’aiuto che vorrai darmi.

  13. Dimenticavo, la seconda domanda è: perchè Internet Explorer non funziona con i certificati scaricati ed installati con Chrome? Cosa devo fare?
    Arrigrazie!
    Ciao
    Giorgio

  14. Grazie per il commento Valerio!
    Hai ragione, nel momento in cui scrissi l’articolo, Let’s Encrypt era ancora in fase embrionale. Ho intenzione di aggiornare l’articolo appena possibile!
    A presto!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.