Defaults.Exposed

Defaults.Exposed › Report

Scaduti, autofirmati, non validi: il report sugli errori dei certificati (2026)

Pubblicato 2026-06-29

Dati al 2026-06-29 · metodologia v7. Dati aggregati del censimento sui 197 milioni di domini che presentano un certificato TLS. “Non valido” = il certificato non supera la convalida (scaduto, autofirmato, hostname errato o catena non attendibile). Vedi come valutiamo.

Avere un certificato non è la stessa cosa che averne uno valido: il 8,57% dei certificati sul web non supera la convalida. Tra i 197 milioni di domini che presentano un certificato TLS, 16.920.535 ne hanno uno di cui i browser non si fidano — e ognuno di essi mostra ai visitatori un avviso di sicurezza a tutta pagina invece del sito. Nell’era dei certificati gratuiti che si rinnovano automaticamente, un certificato non funzionante è quasi sempre un errore correggibile, non un problema di costo.

Cosa c’è davvero che non va in questi certificati

Un certificato non supera la convalida per una manciata di motivi — scaduto, autofirmato, emesso per un hostname diverso, o proveniente da una catena non attendibile. La categoria di gran lunga più identificabile nel censimento è autofirmato:

ProblemaDomini
Certificato presente ma non valido (qualsiasi motivo)16.920.535 (8,57%)
— di cui autofirmati3.378.080 (20,0% dei non validi)

Un certificato autofirmato è uno che il dominio ha emesso a se stesso — cifra il traffico ma non prova nulla, perciò i browser lo rifiutano. È comune su dispositivi, strumenti interni e ambienti di staging esposti accidentalmente a internet pubblica. I restanti certificati non validi sono per lo più scaduti o con hostname non corrispondente.

Perché un certificato non funzionante è peggio di nessun HTTPS

Un sito senza HTTPS riceve una discreta etichetta “Non sicuro”. Un sito con un certificato non funzionante riceve un interstiziale rosso a tutta pagina — “La tua connessione non è privata” — oltre il quale la maggior parte dei visitatori non cliccherà. È il segnale di fiducia più severo che un browser mostri, e scatta prima che i tuoi contenuti vengano caricati. Per un’azienda, è una porta chiusa nel momento del primo contatto.

È anche evitabile: poiché le CA gratuite e il rinnovo automatizzato emettono ora la grande maggioranza dei certificati, un certificato valido non costa nulla e si rinnova da solo. Quel 8,57% con certificati non funzionanti sono quasi tutte lacune di configurazione, non di budget.

Come correggere un errore di certificato

  1. Scaduto? Automatizza il rinnovo (ACME / Let’s Encrypt) così non scadrà mai più. Correggi gli errori di certificato.
  2. Autofirmato? Sostituiscilo con un certificato gratuito emesso da una CA — i certificati autofirmati daranno sempre un avviso nei browser.
  3. Hostname errato? Riemettilo coprendo esattamente i nomi che servi (incluso www).
  4. Verifica che la catena sia completa e attendibile, poi conferma con un nuovo controllo.

Domande frequenti

Perché un certificato diventa non valido? Il più delle volte è scaduto, è autofirmato, è stato emesso per un hostname diverso, o proviene da una catena non attendibile. Al 2026-06-29, il 8,57% dei certificati non supera la convalida per uno di questi motivi.

Cos’è un certificato autofirmato? Uno che il server ha emesso a se stesso invece di ottenerlo da una CA attendibile. Cifra ma non prova alcuna identità, perciò i browser lo rifiutano. 3.378.080 domini ne presentano uno.

Un certificato non funzionante è peggio di nessun HTTPS? Sì — un certificato non funzionante attiva un avviso del browser a tutta pagina che blocca il sito, mentre il semplice HTTP riceve un’etichetta inline più blanda “Non sicuro”.

Quanto costa correggerlo? Niente. I certificati validi sono gratuiti (Let’s Encrypt e altri) e si rinnovano automaticamente. È una correzione di configurazione.

Verifica che il tuo certificato sia valido

Un certificato che i browser rifiutano ti sta costando visitatori proprio ora. Verifica il tuo gratis e in modo privato.

Verifica il tuo dominio → · Correggi gli errori di certificato → · Chi emette i certificati del web? → · Perché il mio sito dice “Non sicuro”? → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.