I Certificati SSL: la Guida Definitiva per Web Agency e Sviluppatori (2018)

Oggi i certificati SSL sono diventati fondamentali per qualsiasi sito web. 

Scopri in questa guida cosa sono, come funzionano ed inizia subito ad usarli sul tuo sito web!

I Certificati SSL: che cosa sono?

I certificati SSL non sono commestibili ma ce ne sono per tutti i gusti.

Sicuramente ne avrai già visto uno da qualche parte ma non hai ancora scoperto a che cosa serve realmente.

Se lavori con il web prima o poi dovrai scontrarti con l’argomento “certificati SSL“.

Questa brutta bestia infatti è obbligatoria per gli e-commerce (o almeno dovrebbe esserlo), è richiesta per le app di terze parti che interagiscono con Facebook ed è una cosa indispensabile per aumentare la sicurezza e la percezione di affidabilità verso il cliente.

Inoltre, dal 1 Ottobre 2017 Chrome ha iniziato a segnalare come non sicuri tutti i siti web privi di un certificato SSL che contengono un form per l’inserimento dei dati.

Ma cominciamo dalle basi.

Il tuo primo incontro con i certificati SSL è avvenuto chissà quanto tempo fa ma non te ne sei mai accorto.

La crittografia infatti è una cosa magica che lavora nell’ombra per la tua sicurezza, senza che la sua presenza possa essere scomoda o ingombrante.

Usi Gmail? Ogni volta che ti colleghi alla tua casella di posta elettronica usando il browser sicuramente noti quel piccolo lucchetto nella barra dell’indirizzo.

Li dietro c’è un certificato SSL che fa da intermediario tra te e Google.

Il certificato SSL è una sorta di garanzia che viene rilasciata dalla cosidette autorità certificatrici.

In pratica l’autorità che emette il certificato ti sta garantendo che l’organizzazione con cui stai “parlando” attraverso il browser è realmente chi dice di essere.

Il termine tecnico per definire l’autorità certificatrice è CA (certification authority).

Quando Google richiede un certificato SSL ad una CA fa più o meno così: “Salve, sono Matt Cutts e chiamo da Google. Avrei bisogno di un certificato digitale per gli utenti cinesi. Ho bisogno di un wildcard, entro quanto tempo è pronto?”. La CA risponde più o meno così: “Buongiorno Matt, grazie per averci contattati. Per richiedere il certificato deve fornirci i documenti che attestano l’esistenza della società, può fare un fax al… Il certificato per google.cn sarà pronto entro qualche giorno”.

Ovviamente il dialogo è di fantasia ma serve a farti comprendere cosa significa richiedere un certificato SSL e qual’è la reale funzione di questo aggeggio.

Ho introdotto anche un termine particolare, “wildcard“. Tienilo a mente perchè ne parlerò più a fondo fra poco.

Google Vertificato Ssl

I Certificati SSL: a che cosa servono realmente?

La funzione di un certificato non è solo quella di garantire l’affidabilità di un soggetto ma anche quella di criptare tutto il flusso di comunicazione che intercorre tra te ed il tuo interlocutore virtuale.

Devi sapere infatti che le comunicazioni di rete in chiaro possono essere spiate.

Ti basti pensare alla storia delle reti WiFi senza password. Una comunicazione crittografata invece non può (almeno teoricamente) essere spiata, e tutti i dati che transitano dal tuo pc verso Google, e viceversa non possono essere “visti” ad occhio nudo.

La questione è molto più complessa delle frasi che sto utilizzando per spiegarla ma per il momento va bene così.

L’esperienza di un navigatore con i certificati SSL praticamente si conclude con quel semplice lucchetto nel browser, mentre per chi sta dall’altra parte la storia continua.

Se ti trovi dietro al monitor e fai acquisti online controlla sempre che nella barra degli indirizzi ci sia il simbolo del lucchetto.

La connessione SSL è la garanzia che i tuoi dati sono al sicuro e che il venditore virtuale con cui stai per concludere l’affare è verificato.

Per gli addetti ai lavori i certificati SSL sono il pane quotidiano.

E non parlo solo dei cervelloni. Sto parlando anche di te che hai messo online un e-commerce di casette per criceti, oppure anche un banale sito web.

Quando qualcuno arriva sul tuo e-commerce devi fare in modo che i dati scambiati via browser tra cliente e sito web non possano essere spiati da nessuno.

Per questo motivo devi dotarti di un certificato SSL.

Quindi più o meno fai come Matt Cutts, chiami l’autorità certificatrice ed ordini il tuo bel certificato.

Fortunatamente i certificati SSL nella maggior parte dei casi vengono attivati in modo automatico, basteranno un paio di ore per ottenere il tuo.

(E con Let’s Encrypt sono anche gratis).

Ma prima di ordinarlo avrai sicuramente delle domande a cui vorrai trovare una risposta. Ed ecco che arrivo io a salvarti.

I Certificati SSL: i certificati autofirmati e i certificati validati da CA

La prima grande distinzione da fare è quella tra certificati autofirmati e certificati validati da una CA.

I primi sono dei certificati che in pratica puoi utilizzare solo a scopo di test e per nient’altro. Possono crittografare il traffico HTTP ma mostrano il classico avviso di “sito non attendibile” nella maggior parte dei browser, e questo non è molto elegante.

I certificati validati invece permettono di godere di molti vantaggi tra cui quello di essere riconosciuti dal 99% dei browser che accetterano automaticamente il certificato senza mostrare allerte all’utente.

Questi ultimi sono la scelta obbligata per il tuo e-commerce di casette per criceti. E non solo.

I certificati SSL sono ormai obbligatori se offri un servizio di webmail o di hosting.

Comprare un certificato SSL per mettere in sicurezza la webmail che vendi ai tuoi clienti è assolutamente d’obbligo e contribuisce ad accrescere la fiducia che ispiri nei confronti del tuo cliente.

I Certificati SSL: certificati Wildcard e certificati Single Domain

La seconda grande differenza che distingue i vari tipi di certificati SSL è la divisione tra Wildcard e Single domain.

Una delle domande più frequenti sui certificati SSL è: “un certificato vale per tutti i domini oppure devo comprarne più di uno?”.

La risposta è che ogni certificato SSL vale per un solo dominio quindi basta comprarne uno a patto che non ti serva per “coprire” anche i sottodomini di quest’ultimo.

Mi spiego meglio.

Se ad esempio vuoi attivare un certificato SSL per il dominio www.pippo.com esso sarà valido solo e strettamente per www.pippo.com e non ad esempio per negozio.pippo.com.

Per “coprire” tutti i sottodomini infatti devi acquistare un certificato particolare che si chiama wildcard.

Il wildcard serve a dotare della crittografia SSL tutti i sottodomini legati a quello principale come ad esempio negozio.pippo.com, clienti.pippo.com, sito.pippo.com, posta.pippo.com, oltre ovviamente a www.pippo.com e pippo.com senza www.

Il certificato SSL Single Domain invece è valido solo per 1 dominio quindi potrai utilizzarlo per www.pippo.com ma non per posta.pippo.com. Tutto chiaro?

I Certificati SSL: Domain Validated ed Organization Validated

In poche parole.

Domain Validated: la CA ti fornisce un certificato sulla fiducia, basandosi solo sul nome a dominio che inserisci nel modulo di richiesta

Organization Validated (anche chiamati Extended Validated): ci sono delle scartoffie da inviare alla CA per dimostrare che l’azienda esiste davvero

Questa è la terza distinzione che caratterizza i certificati SSL. Poco fa quando ho fatto parlare magicamente Matt Cutts, la CA voleva dei documenti che attestassero l’esistenza della società Google.

Quindi Matt voleva acquistare un certificato Organization Validated che per tanti versi è più prestigioso di un Domain Validated e soprattutto fornisce maggiore garanzia ai navigatori.

Un certificato SSL OV/EV viene generato più lentamente di un certificato DV.

In questo caso l’autorità certificatrice dopo aver ricevuto la richiesta di “issuing” del certificato contatta l’azienda che lo ha richiesto ed acquisisce la documentazione che attesta la reale esistenza dell’entità oltre a verificare materialmente che questa società esista davvero.

Per contro i certificati OV/EV sono più laboriosi da ottenere rispetto a quelli Domain Validated. Questi ultimi infatti vengono creati nel giro di poche ore e spediti via email a chi ne ha fatto richiesta.

La differenza, oltre che nelle maggiori garanzie degli OV/EV sta anche nel maggior costo rispetto ai DV.

E’ curioso però notare che ad oggi i certificati OV/EV non offrono più i vantaggi di una volta.

In poche parole la ragione per cui una volta si richiedeva un certificato OV/EV era la possibilità di avere prestigio, mostrando il nome dell’azienda nella barra degli indirizzi.

Oggi questo non è più garantito, tutti i browser stanno rimuovendo l’indicatore dalla barra degli indirizzi:

I Certificati SSL, la guida definitiva

Ne parla Troy Hunt in questo fantastico articolo: Extended Validation Certificates are Dead che ti consiglio di leggere.

Ad ogni modo i certificati Domain Validated non sono meno sicuri.

Non vengono dati “sulla parola” ma il richiedente deve comunque essere sottoposto ad una verifica che molto spesso consiste in un’email inviata al contatto amministrativo del dominio per il quale è stato richiesto il certificato.

(Con Let’s Encrypt la verifica consiste nel corretto puntamento del record DNS del dominio da verificare).

Certificati autogenerati

Aiuto! Quella connessione non è affidabile!

Come ti dicevo prima la principale differenza che separa i certificati SSL è quella tra certificati autofirmati e certificati validati.

Quando attivi un nuovo server dedicato o un pannello di controllo hosting potresti incontrare uno spaventoso avviso alla prima connessione: “Questa connessione non è affidabile!”.

Non c’è niente di cui aver paura. I server dedicati freschi di installazione nascono infatti con dei certificati autogenerati che ovviamente non vengono riconosciuti. Per proseguire ti basterà aggiungere un’eccezione nel browser.

Ovviamente per evitare che questo avviso compaia anche quando i tuoi clienti visitano la webmail del tuo server dovrai dotarti molto presto di un certificato validato.

Scelta e installazione di un certificato SSL

Quando sarai pronto ed avrai scelto il tuo certificato SSL verrà il momento di installarlo sul tuo server (o sul tuo sito web).

Al giorno d’oggi tutti i pannelli di controllo hosting hanno delle procedure guidate per l’installazione di un certificato SSL, qualcosa che ormai è alla portata di tutti.

Ad esempio Plesk, WHM/Cpanel, Virtualmin e Directadmin mettono a disposizione dei plugin per integrare l’acquisto e l’installazione dei certificati SSL.

Gli stessi offrono anche la possibilità di richiedere ed installare certificati gratuiti con Let’s Encrypt.

Insomma, non esistono più scuse per ignorare i certificati SSL.

Let's Encrypt Logo
Let’s Encrypt è un’autorità certificatrice open che mette a disposizione certificati SSL gratuiti

Ho installato il certificato SSL sul mio sito ma Chrome mi segnala che la connessione non è completamente protetta

Se hai installato un certificato SSL per il tuo sito web ma hai ancora problemi di connessione, è molto probabile che ci sia un errore di mixed content.

Chrome e Firefox infatti considerano non sicura una connessione che non sia completamente servita sotto SSL e ti avvertiranno che la comunicazione tra client e server non è protetta.

Chrome connessione non completamente protetta

Per scoprire se è questo il tuo problema, apri la console del browser con F12 e dai un’occhiata nella sezione Console. Dovresti vedere questo errore:

Mixed Content: The page at […] was loaded over HTTPS, but requested an insecure image […]. This content should also be served over HTTPS.”

La soluzione è semplice: individua le immagini o gli assets che non vengono serviti attraverso SSL e correggi il problema:

  • se usi WordPress o Joomla devi fare in modo che il tema carichi tutte le immagini, i CSS ed eventuale Javascript esclusivamente via SSL. Questo generalmente richiede qualche clic sulla configurazione del tema
  • se hai creato le pagine con HTML e CSS, senza usare nè WordPress nè Joomla è sufficiente cercare le risorse interessate e modificare l’attributo src per le immagini o i link stylesheet per i CSS

I Certificati SSL: quanto costano?

Quando le persone indecise vogliono acquistare qualcosa online generalmente si pongono queste due domande:

  1. posso spendere di meno?
  2. e’ veramente indispensabile?

Nel caso dei certificati SSL la prima risposta è dipende.

Se scegli un certificato gratuito Let’s Encrypt la spesa sarà pari a zero.

Un certificato Let’s Encrypt garantisce lo stesso livello di protezione di un certificato a pagamento ma ovviamente è meno prestigioso di un certificato Organization Validated.

La seconda risposta è si, il certificato SSL è veramente indispensabile.

Se sei un consumatore devi “pretendere” che i tuoi dati finanziari transitino su una connessione SSL degna di questo nome.

Se sei un venditore devi offrire la stessa sicurezza al tuo cliente. Allo stesso tempo il certificato SSL è un investimento che non puoi nè snobbare nè tantomeno sperare di risparmiarci sopra.

E ora alcuni consigli per configurare i certificati SSL sul tuo sito.

Un grazie a Flavio Biscaldi che ha contribuito ad arricchire le righe che seguono.

I Certificati SSL, best practices dopo l’installazione

Dopo aver installato un certificato SSL è consigliabile seguire alcune best practice tra cui:

  • Reindirizzare utenti e motori di ricerca su HTTPS
  • Ottimizzare la configurazione SSL del server
  • Attivare HSTS sul tuo sito

Vediamo nel dettaglio di cosa si tratta.

I Certificati SSL: reindirizzare utenti e motori di ricerca su HTTPS

Installare il certificato SSL non basta per mettere in sicurezza il tuo sito.

Se infatti visiti http://tuosito vedrai che il browser non reindirizza automaticamente alla versione https.

Per risolvere devi impostare un redirect.

Puoi istruire i motori di ricerca a reindirizzare in maniera permanente (redirect 301) gli utenti in modo tale che, anche visitando una risorsa che inizia per http, venga mostrata loro la corrispondente risorsa in https.

Questo da un lato evita che l’utente possa navigare un sito in modalità non sicura e, in ottica SEO, evita di avere contenuti duplicati.

Attivare il redirect è semplice.

Modifica il file htaccess del tuo sito aggiungendo le seguenti direttive:

ed il gioco è fatto!

I Certificati SSL: mettere in sicurezza la configurazione SSL del server

La sicurezza di un certificato SSL dipende, tra le altre cose, dalla forza dell’algoritmo utilizzato per crittografare i messaggi scambiati tra l’utente e il sito web.

Per questo motivo dovresti controllare la configurazione SSL del server che ospita il tuo sito.

Ad esempio nel supporto dei protocolli, assicurati di abilitare TLS a partire dalla versione 1.2 e disabilitare completamente SSL, in quanto utilizza algoritmi di cifratura vulnerabili.

Come verificare la configurazione SSL del tuo server?

Esistono diversi strumenti automatici che lo fanno, uno di questi è il tool di Qualys: SSL Server Test.

I Certificati SSL: la Guida Definitiva per Web Agency e Sviluppatori. Il tool di Qualys

Dopo aver inserito il nome del tuo sito nella casella di ricerca ti basterà premere su Submit e attendere la generazione del report.

Se il risultato del test è una A allora il tuo server è ben configurato e immune a tutti gli attacchi noti sino ad oggi.

Dando uno sguardo ai dettagli del report in basso, noterai la voce Strict Transport Security (HSTS).

Ma cos’è HSTS e a cosa serve?

I certificati SSL: che cos’è HSTS? A cosa serve?

HSTS è un protocollo che consente di aumentare la protezione da un attacco noto come MiTM (Man in The Middle), in cui una terza parte tenta di mettersi “nel mezzo” tra utente e sito web per intercettare la comunicazione e manometterla.

In breve HSTS mitiga il MiTM forzando il browser ad utilizzare HTTPS, anche se l’utente richiede una risorsa non sicura (che inizia per http://) o digita nella barra degli indirizzi il nome del dominio senza https.

Come attivare HSTS sul tuo sito?

Ancora una volta basta mettere mano all’htaccess.

È possibile abilitare HSTS attraverso l’invio al browser, da parte del sito web, dell’intestazione Strict-Transport-Security.

È sufficiente aggiungere queste direttive al file htaccess del tuo sito web:

Questa direttiva attiva HSTS sul dominio principale, inclusi i sottodomini (direttiva includeSubDomains), per un periodo di 1 anno (parametro max-age espresso in secondi), consentendo anche il precaricamento (direttiva preload).

Il precaricamento HSTS memorizza le impostazioni HSTS nel browser dell’utente, rendendo sicura anche la prima connessione al sito, aumentando quindi la sicurezza.

In mancanza di tale direttiva, la protezione di HSTS diventa efficace solo a partire dalle visite successive alla prima.

Dopo che il browser memorizza la configurazione HSTS non è più possibile tornare indietro a meno di non cancellare la configurazione stessa dalle impostazioni del browser, oppure attendere la scadenza del periodo impostato da max-age.

Questo potrebbe rendere inaccessibile il tuo sito per un lungo periodo, poichè se hai implementato male HTTPS, i tuoi visitatori potrebbero visualizzare un messaggio di errore (ad esempio se il certificato è scaduto) fino a quando l’età massima non scade.

Per questo motivo prima di attivare HSTS assicurati di aver fatto correttamente il passaggio da HTTP ad HTTPS.

Poi abilita HSTS utilizzando inizialmente valori bassi per il parametro max-age (ad es. 1 settimana), successivamente monitora il traffico dai motori di ricerca e se non noti variazioni negative importanti aumenta lentamente l’età massima fino a raggiungere 1 anno.

In questo modo eviterai che un’utente a cui viene mostrato alla prima visita un possibile errore di connessione non sicura, si ritrovi il sito inaccessibile per tutto il periodo impostato dal max-age.

Per testare che il tuo browser supporti HSTS puoi usare questo tool: HSTS BadSSL.

Appendice

Certificati SSL Symantec e Google Chrome, che cosa cambia a partire dal 2018?

Certificati SSL SYmantec non validi su Google Chrome. A partire dal 2018.
Certificati SSL Symantec non più validi su Google Chrome. A partire dal 2018.

Gli utenti più smaliziati e gli Sviluppatori Web avranno notato che Chrome sta segnalando quanto segue sulla console del browser (tasto F12):

The certificate used to load https://unbounce.com/ uses an SSL certificate that will be distrusted in an upcoming release of Chrome. Once distrusted, users will be prevented from loading this resource. See https://g.co/chrome/symantecpkicerts for more information.

Questo succede per diversi siti web, tutti quelli che utilizzano un certificato SSL Symantec. Alcuni li riconoscerai sicuramente:

The certificate used to load https://mailchimp.com/ uses an SSL certificate that will be distrusted in an upcoming release of Chrome. Once distrusted, users will be prevented from loading this resource. See https://g.co/chrome/symantecpkicerts for more information

Che cosa sta succedendo?

In breve:

I certificati SSL Symantec rilasciati prima di Giugno 2016 verrano invalidati su Chrome.

Questo per te significa che se hai acquistato un certificato SSL Symantec prima di Giugno 2016 Chrome non lo riconoscerà più come valido. E mostrerà un’allerta. Questo succederà a partire dal 15 Marzo 2018.

Perchè tutto questo?

Nel corso degli anni il team di Google ha rilevato che Symantec non sempre ha seguito procedure corrette per il rilascio dei certificati SSL. Non in una ma in diverse e numerose occasioni.

Questo ha significato una perdita di credibilità per Symantec agli occhi del team di Google Chrome.

Dopo una lunga e attenta discussione Google ha deciso di revocare la fiducia a Symantec, obbligando la società a cedere l’infrastruttura PKI.

A partire da Dicembre 2017 infatti, tutti i nuovi certificati rilasciati da Symantec porteranno la firma di Digicert. E l’approvazione di Google Chrome.

Ecco quindi che cosa devi fare:

  1. se il tuo certificato SSL Symantec scade prima di Marzo 2018, ottimo. Puoi scegliere di cambiare fornitore, oppure rimanere con Symantec. Al prossimo rinnovo sarai a posto perchè il nuovo certificato verrà rilasciato direttamente da Digicert per conto di Symantec.
  2. se il tuo certificato SSL Symantec scade dopo il 15 Marzo 2018 devi ri-generarlo per evitare problemi. Questo attraverso l’area clienti Symantec, oppure acquistando un nuovo certificato presso un fornitore diverso.

 

27 risposte a “I Certificati SSL: la Guida Definitiva per Web Agency e Sviluppatori (2018)”

  1. Ciao Valentino,

    ho letto con attenzione il tuo “trattato” sul SSL, tutto molto chiaro, ma avrei una domanda:
    Il mio sito è ospitato presso un Hosting ove pago spazio e dominio, ovviamente compare l’antipatico messaggio prima di entrarci, ti chiedo se sono obbligato a comprarlo da loro (60Euro/Anno!) o come ho visto in giro ne basta uno + semplice (7-10Euro/Anno).
    Premetto che il mio sito è semplicemente un archivio grafico di copertini di live CD/LP/Tape degli U2 collezionati in 30 anni per cui nulla di complesso o di rischioso.
    Ti ringrazio comunque per quello che hai riportato qui e se avrai 1 prezioso secondo del tuo tempo da dedicarmi te ne sarò grato.

    Saluti

    Andrea Fiori (BO).

    PS: Sono anche io su Linkedin.

  2. Ho letto il tuo interessante articolo e vorrei chiederti un chiarimento.

    la mia azienda ha il sito web e la posta presso un provider.

    internamente abbiamo installato un mail server che scarica la posta dal provider ogni 5 minuti e gli utenti da outlook a dalla webmail si collegano direttament al nostro mailserver.

    quando usiamo la webmail da esterno in https abbiamo il problema che ci appare l’errore del certificato ub quanto è autogenerato.

    finalmente arrivo alla domanda: io comprerei un certificato ma quando accedo alla webmail accedo tramite l’indirizzo della mia adsl oppure tramite un dyndns. in questo caso posso comprare il mio certificato ma per quale dominio visto che il mio è in mano al provider ?

    spero di essere stato chiaro

  3. Grande articolo, scritto con leggerezza ma molto chiaro. Non annoia e si legge bene.
    Ne approfitto per fare una domandina, che ne pensi del servizio Https di Cloudlfare?

  4. Ciao Filippo, grazie per l’apprezzamento. In merito a Cloudflare, beh, vai a colpo sicuro. A presto!

  5. La regola dice di “prima chiedere”, poi “fare”.
    Chiedo scusa, ma ho fatto l’esatto opposto segnalando e linkando nel mio sito questo articolo.
    Colgo l’occasione per sviolinare complimenti.

    Lorenzo

  6. Devo dire un post molto piacevole; in poche righe fai un quadro molto chiaro ed utile, soprattutto ad un neofita. L’idea del criceto è poi simpaticissima… Buon lavoro! alessandro

  7. complimenti,ho capito cos’è un certificato SSL. Ora ,mentre mangio i miei semini di girasole mi chiedo: ma che non si SSL il nome del criceto?

  8. Grazie per la spiegazione, ma credo che sia solo WEBMAFIA, ho diversi e-commerce, tutti sappiamo che i pagamento con carta di credito vengono reindirizzati sul sito di PAYPAL, quindi perchè mi devi obbligare a comprare un certificato SSL + dimentichi IP STATICO che è d’obbligo per installazione del certificato ! In pratica prima un sito costava 100 euro ora te ne costa 300 !! Moltiplicato per tutti gli e-commerce presenti fa un bel gruzzoletto … inoltre ti sei mai chiesto di chi sono le famose CA (certification authority) ? 5 anni fa queste cose non esistevano.. ti spacci come consulente di GNU/LINUX … Richard Stallman sarebbe molto contrariato .
    In parole povere nel 2016 Google mi obbliga per usare il Merchant center ad avere un certificato SSL nel sito… peccato che ci sono milioni di siti truffa , che funzionano e che non vengono mai chiusi , ennesimo pizzo da imporre alla povera gente onesta che paga e lavora.

  9. Grazie per il commento. Rispetto la tua opinione ma credo che la realta’ dei fatti sia un po’ diversa. Ti ricordo comunque che sui server che supportano SNI, non e’ necessario avere un ip statico/dedicato per ogni sito. A presto!

  10. Ciao Valentino, innanzitutto grazie per la spiegazione.
    Ti scrivo per avere un consiglio, un mese fa circa fa PayPal ci ha dato delle date entro le quali dovremo aggiornare il sistema a:
    – Aggiornamento Certificato SSL a SHA-256
    – Aggiornamento TLS 1.2 e HTTP/1.1.
    Il nostro sito è su server A…. e sinceramente finora hanno funzionato benissimo, ma sui quali non è possibile installare il certificato SSL e ci dovremo sostare su A… Business. Ormai è un mese che cerchiamo di andare avanti e adattarci ai nuovi standard ma anche al call centre quando esponiamo la situazione sembrano cadere dal pero. Cambio hosting o passo a PayMill che non ci richiede le certificazioni? Perché da come scrivi nell’articolo queste certificazioni sono indispensabili. Se vuoi puoi scrivermi anche alla mia email. Grazie

  11. Ciao Fabio e grazie per il commento.
    In linea di massima, tutte le piu’ recenti versioni dei sistemi operativi Linux (do per scontato che il vostro sito sia su un hosting/server Linux) supportano TLS 1.2, senza necessita’ di ulteriori modifiche. Per testare la connessione verso i server di Paypal e’ sufficiente fare login via ssh sulla shell (se attiva) e lanciare una richiesta http con curl:

    $ curl –tlsv1.2 https://tlstest.paypal.com/
    PayPal_Connection_OK

    in caso di successo, Paypal rispondera’ con un PayPal_Connection_OK. Tengo a precisare comunque, dal momento che le richieste verso Paypal partono sempre attraverso il codice PHP che fa girare il sito web, e’ necessario verificare con il vostro developer ed assicurarsi che le richieste http lanciate verso Paypal al momento del pagamento, vengano incapsulate con TLS 1.2. In ogni caso ripeto, con le versioni piu’ recenti di PHP e SO Linux, non dovrebbero essere richieste ulteriori modifiche. Per quanto riguarda invece il passaggio del certificato SSL verso SHA-256, e’ sufficiente specificare la richiesta al momento dell’acquisto. Le autorita’ di certificazione SSL comunque rilasciano ormai quasi esclusivamente certificati con SHA-256.
    A presto!

  12. Ciao Valentino!
    Grazie dei chiarimenti!
    Ma alla fine non hai svelato il nome del tuo criceto!! :D

  13. Grazie per la splendida lezione. Ti sarei grato se mi potessi rispondere a due domande:
    La polizia di stato ha un sito “portale alloggiati” e per l’uso fornisce un certificato ad ogni utente. Io voglio gestire due appartamenti, uno di mia proprietà ed uno di mia moglie e, pertanto, ho installato due certificati sul mio PC: uno mio ed uno di mia moglie.
    La prima volta che mi connetto, appena accendo il PC, usando Chrome, il sito mi chiede quale certificato voglio usare. Io lo scelgo e tutto funziona. Dalla volta successiva Chrome non me lo chiede più e non ho ho possibilità di modificarlo e quindi accedere con l’altra login e password.
    A parte la maniera “pedestre” di realizzare il software, c’è qualche modo per costringere Chrome a chiedere sempre il certificato da utilizzare? Ti ringrazio anticipatamente per l’aiuto che vorrai darmi.

  14. Dimenticavo, la seconda domanda è: perchè Internet Explorer non funziona con i certificati scaricati ed installati con Chrome? Cosa devo fare?
    Arrigrazie!
    Ciao
    Giorgio

  15. Grazie per il commento Valerio!
    Hai ragione, nel momento in cui scrissi l’articolo, Let’s Encrypt era ancora in fase embrionale. Ho intenzione di aggiornare l’articolo appena possibile!
    A presto!

  16. Grazie per le informazioni molto chiare e dettagliate. Avevo bisognodi capire se un istituto scolastico avesse bisogno di una certificazione SSL e mi sembra di no, giusto? Perché il nostro fornitore di dominio ci continua a proporre la certificazione, a dire il vero gratuita al momento, come qualcosa di assolutamente necessario.

  17. Articolo ben scritto, seppure manca qualcosina, ma è normale essendo HTTPS e certificati annessi un’argomento vasto e in continuo cambiamento. Ad esempio avrei citato HSTS e di come sia importante per mitigare il MiTM.

    Se me lo consenti vorrei citare un sito, che sono sicuro conoscerai, per il testing della configurazione SSL/TLS del server che ospita il proprio sito web. https://www.ssllabs.com/ssltest/

    E dato che siamo in tema questa pagina ha un problema di mixed content ;)

  18. Grazie per il commento Flavio. Se hai voglia di scrivere qualche riga su HSTS da aggiungere all’articolo fai pure. Mi farebbe piacere! A presto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.