Defaults.Exposed › Correzioni › Salute del certificato TLS

Come correggere Salute del certificato TLS

Il tuo certificato SSL/TLS è la carta d'identità digitale che dimostra che un visitatore sta davvero parlando con il tuo sito — non con un impostore — e alimenta il lucchetto nel browser. Questo controllo guarda se quel certificato sia valido e fidato, non sul punto di scadere, e costruito con crittografia forte e moderna.

In sintesi per la tua attività: Un certificato rotto o scaduto sostituisce il tuo sito con un avviso rosso a tutto schermo «La tua connessione non è privata» in ogni browser. La maggior parte dei visitatori se ne va all'istante e non torna — le vendite online si fermano, le iscrizioni si fermano, e la connessione che doveva essere privata può essere intercettata in silenzio.

Cosa può costarti

• Il tuo certificato scade in silenzio durante un fine settimana; entro lunedì ogni visitatore incontra un avviso di sicurezza a tutta pagina, il tuo checkout e i tuoi moduli di contatto sono morti, e perdi vendite per ogni ora che ci vuole ad accorgersene e rinnovare.
• Un cliente che paga su WiFi di bar o hotel riceve un avviso che il tuo certificato non corrisponde al tuo dominio — pensa che il tuo sito sia falso o violato, abbandona l'acquisto, e racconta agli altri che «sembrava sospetto».
• L'ufficio IT di un cliente più grande fa una scansione di sicurezza pre-contratto, vede un certificato auto-firmato o non fidato, e ti segnala come rischio — l'affare si blocca per qualcosa che non costa nulla sistemare.
• Il tuo certificato usa un metodo di firma obsoleto o una chiave debole; i browser moderni cominciano a mostrarci avvisi, e un audit di sicurezza ti penalizza per crittografia fuori dalla lista raccomandata da anni.
• Accetti pagamenti con carta e il tuo provider di pagamenti ti ri-verifica; una chiave debole o un certificato scaduto viola le regole di sicurezza dei pagamenti e il tuo checkout online viene congelato finché non è corretto.

Perché è importante. Il certificato è il pezzo più visibile della sicurezza del tuo sito — quando è in salute è invisibile, e quando si rompe porta giù l'intero sito con un avviso spaventoso che spinge i clienti dritti dai concorrenti. La scadenza del certificato è la causa numero uno dei blackout inattesi dei siti, ed è del tutto prevenibile. Ottenere un certificato valido è gratuito, e mantenerlo in salute è perlopiù questione di lasciarlo rinnovare automaticamente.

Cos’è, in parole semplici

Quando qualcuno visita il tuo sito, devono accadere due cose perché si senta sicuro a digitare una password o un numero di carta. Primo, la connessione deve essere cifrata così gli estranei non possano leggerla. Secondo — ed è la parte che la gente dimentica — il browser del visitatore deve essere certo che dall’altra parte ci sia davvero il tuo sito, e non un impostore che ha allestito un falso convincente. La cosa che fa entrambi i lavori è il tuo certificato TLS (spesso chiamato «certificato SSL»).

Pensalo come una carta d’identità a prova di manomissione per il tuo dominio. Lo rilascia un’autorità riconosciuta, è timbrato con il nome del tuo dominio e una data di scadenza, e porta la chiave crittografica che mescola la connessione. Quando tutto torna, il browser mostra il lucchetto e il tuo sito si carica normalmente. Quando qualcosa non va nella carta d’identità, il browser fa l’opposto di rassicurare il tuo visitatore — lancia un avviso a tutto schermo che dice, in sostanza, «questo sito potrebbe non essere sicuro».

Questo controllo guarda la salute di quella carta d’identità su quattro fronti, ciascuno dei quali può romperla in modo indipendente:

• È valida e fidata? — rilasciata da un’autorità riconosciuta, corrispondente al tuo dominio esatto, non auto-firmata, e non scaduta.
• Sta per scadere? — perché un certificato che decade porta giù l’intero sito.
• È firmata con un metodo forte? — i vecchi algoritmi di firma possono essere contraffatti.
• La sua chiave è abbastanza forte? — una chiave debole può, in linea di principio, essere violata.

La buona notizia subito: ottenere un certificato in salute è gratuito, e mantenerlo in salute è perlopiù questione di lasciarlo rinnovare automaticamente così nessun essere umano debba ricordarsene.

Quanto può costarti

• Il blackout del fine settimana. Un certificato raggiunge in silenzio la sua data di scadenza tardi un venerdì. Il rinnovo che doveva partire non è partito (un server spostato, uno script rotto, nessuno se n’è accorto). Entro sabato mattina ogni visitatore — e ogni crawler di Google — vede un avviso rosso a tutta pagina invece della tua home. Il tuo negozio è chiuso e non lo sai nemmeno. La correzione tecnica richiede minuti; il fine settimana di vendite perso e i clienti che hanno deciso che eri «fallito» non tornano.

• Il checkout abbandonato. Un cliente sta comprando dal telefono su WiFi di hotel. Il tuo certificato non corrisponde del tutto al dominio che ha digitato (diciamo che copre negozio.tuaazienda.com ma non tuaazienda.com nudo che ha usato). Il browser lo avvisa che il sito «potrebbe impersonare» il tuo. Per un acquirente non tecnico questo significa truffa — chiude la scheda, e tu non sai mai che la vendita è esistita.

• Il contratto bloccato. L’ufficio sicurezza di un potenziale cliente più grande fa una scansione di routine prima di firmare. Il risultato mostra un certificato auto-firmato o non fidato su uno dei tuoi sottodomini. Anche se tutto il resto va bene, quella singola bandiera rossa trasforma un’approvazione rapida in un botta e risposta che ritarda l’affare — per un problema che non costa nulla sistemare.

• L’avviso al rallentatore. Il tuo certificato è tecnicamente valido ma firmato con SHA-1, un vecchio metodo che i browser stanno eliminando. Un aggiornamento del browser dopo, una parte dei tuoi visitatori comincia a vedere avvisi che non riesci a riprodurre sulla tua macchina aggiornata. Arrivano ticket di assistenza che dicono che il sito «sembra rotto» e non capisci perché.

• Il fallimento di conformità. Accetti pagamenti con carta. Durante una ri-verifica, i controlli del tuo provider segnalano una chiave debole o un certificato decaduto. Le regole di sicurezza delle carte richiedono crittografia forte e attuale — quindi i tuoi pagamenti online vengono sospesi finché non riemetti, congelando le entrate nel momento peggiore possibile.

Cos’è davvero (le quattro parti)

Un certificato può essere in cattiva salute in quattro modi distinti, e questa pagina li copre tutti. Ciascuno è un controllo separato sotto il cofano, ma per te sono tutti «il mio certificato è OK?».

1. Valido e fidato

Questo è il punto cruciale — e l’unica parte della salute del certificato che è un controllo critico, di massimo peso. Un certificato è «valido e fidato» solo quando tutte queste cose sono vere:

• È stato rilasciato da un’autorità di certificazione riconosciuta di cui i browser già si fidano (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon, e così via).
• Corrisponde al dominio esatto che il visitatore sta usando — sottodomini inclusi. Un certificato per www.tuaazienda.com che non copre anche tuaazienda.com darà un avviso sul dominio nudo.
• Non è auto-firmato — cioè non uno che ti sei rilasciato da solo, che cifra ma non dimostra nulla su chi tu sia.
• È attualmente entro la sua finestra temporale — non scaduto, e non (stranamente, ma capita) datato per iniziare in futuro.
• La sua catena di fiducia è intatta — l’autorità che l’ha firmato è a sua volta fidata, fino in cima.

Se anche solo una di queste fallisce, i browser mostrano la temuta pagina «La tua connessione non è privata», e questo controllo fallisce duramente. Un buono è fatto così: un certificato da un’autorità riconosciuta, che copre ogni dominio e sottodominio che usi davvero, comodamente dentro le sue date.

2. Non sul punto di scadere

Ogni certificato ha una data di fine fissa. Quelli gratuiti durano tipicamente 90 giorni; quelli a pagamento spesso un anno. Oltre la data, la fiducia evapora all’istante — non c’è periodo di grazia. Questo controllo misura quanti giorni restano e come questo interagisce con chi l’ha rilasciato:

• Se è già scaduto, o scade tra meno di 7 giorni, è trattato come critico — un segno che il rinnovo è fallito.
• Se scade entro 30 giorni e non è auto-gestito, è un avviso a rinnovare subito.
• Se è di un provider con rinnovo automatico (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL e simili) con almeno una settimana rimasta, viene superato — perché ci si aspetta che si rinnovi da solo prima della scadenza.
• Ampio margine (90+ giorni, o auto-gestito) è un superamento pulito.

Un buono è fatto così: un certificato auto-gestito che si rinnova da solo senza che nessuno lo tocchi. Il modo più affidabile in assoluto per non avere mai un blackout da scadenza è rendere una macchina, non una persona, responsabile del rinnovo.

3. Algoritmo di firma forte

Ogni certificato è «firmato» usando un algoritmo crittografico che permette ai browser di rilevare le manomissioni. I vecchi algoritmi — MD5 e SHA-1 — si sono dimostrati contraffabili, il che significa che un attaccante potrebbe in linea di principio confezionare un certificato fraudolento che sembra legittimamente tuo. Questo controllo viene superato quando il certificato usa una firma forte e moderna: SHA-256 o più forte (SHA-384, SHA-512), ECDSA moderno, o Ed25519/Ed448. MD5 e SHA-1 falliscono. Un buono è fatto così: SHA-256 o meglio — che è l’impostazione predefinita su ogni certificato gratuito e moderno, quindi è raramente un problema su qualsiasi cosa emessa negli ultimi anni.

4. Chiave forte

Il certificato porta una chiave crittografica che fa l’effettiva mescolatura. Se quella chiave è troppo corta, la potenza di calcolo moderna può — con risorse sufficienti — violarla, permettendo a un attaccante di impersonare il tuo sito o decifrare il traffico. I minimi accettati sono RSA a 2048 bit o a curva ellittica (EC) a 256 bit. Questo controllo viene superato a quelle dimensioni o oltre e fallisce al di sotto. Un buono è fatto così: RSA a 2048 bit (o 4096 bit), o una chiave EC a 256 bit come P-256 — di nuovo, l’impostazione predefinita sui certificati gratuiti moderni.

Una nota sulle ultime tre: valido-e-fidato è quella critica che genera la pagina di avviso. La robustezza di firma e chiave riguarda l’essere a prova di futuro e gli audit — un certificato gratuito recente quasi sempre le supera automaticamente, ma sono le cose che una revisione di sicurezza controllerà, quindi vale la pena farle bene.

Come sistemarlo (gratis, ~15 minuti)

Passa questa sezione a chi gestisce il tuo sito o il tuo hosting — la correzione è gratuita. Un certificato valido, forte e con rinnovo automatico non costa nulla tramite Let’s Encrypt o qualsiasi host moderno. Facciamo pagare solo il monitoraggio nel tempo, perché resti in salute, non la correzione. Se non hai una persona IT, le note per piattaforma qui sotto porteranno la maggior parte dei titolari al traguardo.

Passo 1 — Ottieni (o sostituisci) il certificato con uno gratuito e fidato. Questo singolo passo sistema validità, firma e robustezza della chiave tutte in una volta, perché i certificati gratuiti moderni usano SHA-256 e chiavi forti per impostazione predefinita.

• Cloudflare: in SSL/TLS → Overview, imposta la modalità su Full (Strict). Cloudflare rilascia e rinnova automaticamente un certificato edge fidato per te; assicurati che anche il tuo server di origine abbia un certificato valido così che «Strict» funzioni.
• Hosting Google Workspace / Microsoft 365 o qualsiasi host cPanel: cerca SSL/TLS Status ed esegui AutoSSL. Fornisce e rinnova certificati gratuiti automaticamente.
• Creatori di siti (Squarespace, Wix, Shopify, host WordPress moderni): l’SSL è di solito attivo per impostazione predefinita — conferma che sia abilitato nelle impostazioni di dominio/sicurezza, e che copra sia tuaazienda.com sia www.tuaazienda.com.
• Il tuo server Linux (Nginx/Apache): installa Let’s Encrypt con Certbot — sudo certbot --nginx -d tuaazienda.com -d www.tuaazienda.com (o --apache). Per una moderna chiave EC, aggiungi --key-type ecdsa. Elenca ogni hostname che servi con -d così il certificato li copra tutti.

Passo 2 — Rendi automatico il rinnovo così non scada mai più. Questo è il passo che previene lo scenario del blackout del fine settimana.

• Su un server Let’s Encrypt, conferma che il timer di rinnovo sia attivo e testalo: sudo certbot renew --dry-run. Certbot di norma installa un timer automatico; se no, aggiungi un cron job giornaliero: 0 3 * * * certbot renew --quiet.
• Su Cloudflare, cPanel AutoSSL, e host gestiti/creatori di siti, il rinnovo è gestito per te — non c’è nulla da programmare.

Passo 3 — Assicurati che copra i nomi giusti. La causa più comune di «valido ma con avviso» è una mancata corrispondenza del nome. Il certificato deve coprire ogni hostname che i clienti usano davvero — il dominio nudo, www, e qualsiasi sottodominio come negozio. o app.. Quando generi un certificato, includili tutti (un wildcard come *.tuaazienda.com copre tutti i sottodomini in un colpo solo).

Passo 4 — Se è segnalata solo la robustezza di firma o chiave, basta riemettere. Non devi comprare nulla: genera un certificato nuovo (Passo 1) e quello nuovo userà SHA-256 e una chiave forte automaticamente. Sul tuo server puoi fissare esplicitamente una chiave moderna — es. openssl ecparam -genkey -name prime256v1 -out server.key per EC, o openssl genrsa -out server.key 4096 per RSA — poi riemetti.

Passo 5 — Verifica, poi ricontrolla qui. Conferma date, emittente e chiave con un comando veloce — echo | openssl s_client -servername tuaazienda.com -connect tuaazienda.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — poi riesegui questo controllo.

Errori comuni

• Trattare «abbiamo installato l’SSL una volta» come finito. I certificati scadono su un orologio. Senza rinnovo automatico, la domanda non è se decadrà ma quando — di solito nel momento meno opportuno.
• Coprire www ma non il dominio nudo (o viceversa). Entrambi devono essere sul certificato, altrimenti uno dei due genera un avviso di mancata corrispondenza del nome. La stessa trappola coglie i nuovi sottodomini aggiunti in seguito.
• Lasciare un certificato auto-firmato su un sottodominio «di prova» che in realtà è pubblico. Cifra, quindi sembra sicuro — ma i browser (e gli scanner di sicurezza) lo trattano come non fidato, ed è una classica bandiera rossa in audit.
• Dare per scontato che a pagamento significhi più sicuro. Un certificato Let’s Encrypt gratuito è esattamente fidato e cifrato quanto uno costoso. Pagare di più non rende il lucchetto più forte.
• Rinnovare il certificato ma dimenticare di ricaricare il server. Un nuovo certificato fermo su disco non fa nulla finché il server web non viene ricaricato per recepirlo — una causa sorprendentemente comune di «l’ho rinnovato ma mostra ancora scaduto».
• Rinnovo automatico fallito in silenzio. Un job di rinnovo può rompersi (un file spostato, un cambio DNS, una porta bloccata) e continuare a «riuscire» in silenzio. Monitorare la data di scadenza — non solo il job di rinnovo — è ciò che davvero lo intercetta prima che morda.

FAQ