Defaults.Exposed › Report
Scaduti, autofirmati, non validi: il report sugli errori dei certificati (2026)
Pubblicato 2026-06-29
Dati al 2026-06-29 · metodologia v7. Dati aggregati del censimento sui 197 milioni di domini che presentano un certificato TLS. “Non valido” = il certificato non supera la convalida (scaduto, autofirmato, hostname errato o catena non attendibile). Vedi come valutiamo.
Avere un certificato non è la stessa cosa che averne uno valido: il 8,57% dei certificati sul web non supera la convalida. Tra i 197 milioni di domini che presentano un certificato TLS, 16.920.535 ne hanno uno di cui i browser non si fidano — e ognuno di essi mostra ai visitatori un avviso di sicurezza a tutta pagina invece del sito. Nell’era dei certificati gratuiti che si rinnovano automaticamente, un certificato non funzionante è quasi sempre un errore correggibile, non un problema di costo.
Cosa c’è davvero che non va in questi certificati
Un certificato non supera la convalida per una manciata di motivi — scaduto, autofirmato, emesso per un hostname diverso, o proveniente da una catena non attendibile. La categoria di gran lunga più identificabile nel censimento è autofirmato:
| Problema | Domini |
|---|---|
| Certificato presente ma non valido (qualsiasi motivo) | 16.920.535 (8,57%) |
| — di cui autofirmati | 3.378.080 (20,0% dei non validi) |
Un certificato autofirmato è uno che il dominio ha emesso a se stesso — cifra il traffico ma non prova nulla, perciò i browser lo rifiutano. È comune su dispositivi, strumenti interni e ambienti di staging esposti accidentalmente a internet pubblica. I restanti certificati non validi sono per lo più scaduti o con hostname non corrispondente.
Perché un certificato non funzionante è peggio di nessun HTTPS
Un sito senza HTTPS riceve una discreta etichetta “Non sicuro”. Un sito con un certificato non funzionante riceve un interstiziale rosso a tutta pagina — “La tua connessione non è privata” — oltre il quale la maggior parte dei visitatori non cliccherà. È il segnale di fiducia più severo che un browser mostri, e scatta prima che i tuoi contenuti vengano caricati. Per un’azienda, è una porta chiusa nel momento del primo contatto.
È anche evitabile: poiché le CA gratuite e il rinnovo automatizzato emettono ora la grande maggioranza dei certificati, un certificato valido non costa nulla e si rinnova da solo. Quel 8,57% con certificati non funzionanti sono quasi tutte lacune di configurazione, non di budget.
Come correggere un errore di certificato
- Scaduto? Automatizza il rinnovo (ACME / Let’s Encrypt) così non scadrà mai più. Correggi gli errori di certificato.
- Autofirmato? Sostituiscilo con un certificato gratuito emesso da una CA — i certificati autofirmati daranno sempre un avviso nei browser.
- Hostname errato? Riemettilo coprendo esattamente i nomi che servi (incluso
www). - Verifica che la catena sia completa e attendibile, poi conferma con un nuovo controllo.
Domande frequenti
Perché un certificato diventa non valido? Il più delle volte è scaduto, è autofirmato, è stato emesso per un hostname diverso, o proviene da una catena non attendibile. Al 2026-06-29, il 8,57% dei certificati non supera la convalida per uno di questi motivi.
Cos’è un certificato autofirmato? Uno che il server ha emesso a se stesso invece di ottenerlo da una CA attendibile. Cifra ma non prova alcuna identità, perciò i browser lo rifiutano. 3.378.080 domini ne presentano uno.
Un certificato non funzionante è peggio di nessun HTTPS? Sì — un certificato non funzionante attiva un avviso del browser a tutta pagina che blocca il sito, mentre il semplice HTTP riceve un’etichetta inline più blanda “Non sicuro”.
Quanto costa correggerlo? Niente. I certificati validi sono gratuiti (Let’s Encrypt e altri) e si rinnovano automaticamente. È una correzione di configurazione.
Verifica che il tuo certificato sia valido
Un certificato che i browser rifiutano ti sta costando visitatori proprio ora. Verifica il tuo gratis e in modo privato.
Verifica il tuo dominio → · Correggi gli errori di certificato → · Chi emette i certificati del web? → · Perché il mio sito dice “Non sicuro”? → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.