Errori SSL che influiscono sulla SEO

Nome host errato nel certificato SSL: cosa significa?

Se viene specificato un nome host errato nel certificato SSL è come avere il nome sbagliato sulla carta d’identità. All’istanza di controllo (in questo caso il browser) non è più possibile riconoscere che si tratti di una connessione sicura.

Poiché un valore dati non è corretto, l’intero certificato diventa privo di valore. Siccome la crittografia si basa sui dati contenuti nel certificato, questa non può più essere eseguita come desiderato.

Il visitatore di un sito web riceve quindi un avviso che segnala un errore nel certificato SSL. La maggior parte dei browser indica anche che il nome dell’host non è corretto. L’utente può quindi decidere se connettersi o meno al sito web in queste circostanze.

Chiaramente molti utenti rifiuteranno quest’offerta. Un errore del genere dovrebbe suscitare la diffidenza di ogni utente e di conseguenza far si che molti clienti non visitino più il sito web in questione. A maggior ragione, un nome host sbagliato può anche essere un segno che terze parti non autorizzate abbiano cercato di manipolare la connessione sicura tra utente e sito web. Un nome host errato è quindi per molti utenti ancora più grave del mancato utilizzo della crittografia SSL.

I motivi più comuni che portano a un errore di denominazione sono nomi di dominio sbagliati al momento della richiesta di un certificato SSL, ciò può per esempio verificarsi facilmente con errori di battitura.

Un’altra fonte di errore è rappresentata dal fatto che un certificato SSL multidominio non è stato compilato correttamente e che non tutti gli FQDNS desiderati sono stati inclusi nel modulo di richiesta del certificato. Un terzo motivo è rappresentato dai certificati autofirmati, che spesso vengono generati automaticamente e poi non contengono il nome corretto del dominio.

La soluzione è semplice: i webmaster dovrebbero affidarsi ad autorità di certificazione affidabili per l’emissione dei certificati e controllare attentamente le loro richieste per verificare che non vi siano errori di battitura o di dominio mancanti.

Cosa succede quando il mio certificato SSL scade?

Quando il certificato di sicurezza di un sito web scade, ogni visitatore riceve un messaggio di avviso tramite il proprio browser. Un certificato SSL scaduto è un motivo molto comune per gli avvisi di sicurezza, poiché i certificati devono essere aggiornati ogni anno.

È un po’ come se il tuo sito web stesse cercando di identificarsi con una carta d’identità scaduta: non è affidabile. Dall’altro lato, un certificato scaduto non significa necessariamente un sito web insicuro, ma molti visitatori sono scoraggiati da questo messaggio di avvertimento. Questo è particolarmente fastidioso perché è facile tenere aggiornati i certificati SSL.

Anche un certificato SSL scaduto lo puoi rinnovare in pochi minuti. Per fare ciò puoi semplicemente rinnovarlo presso l’autorità di certificazione a cui avevi richiesto anche il tuo vecchio certificato. In alternativa puoi richiedere un nuovo certificato presso un nuovo ente di certificazione. Tuttavia, dovrai fare un piccolo sforzo quando invii la domanda, perché dovrai prestare nuovamente molta attenzione agli errori di battitura e le sviste sono più probabili.

Dopodiché, però, la procedura è simile: riceverai un nuovo file di certificato e dovrai cancellare quello vecchio. Ora puoi caricare il nuovo file di certificato sul tuo server e verificare direttamente con un tool se funziona.

Per evitare che i tuoi certificati scadano, dovresti segnarti una deadline nel tuo calendario o utilizzare la funzione di promemoria del tuo ente di certificazione.

Come posso verificare se il mio certificato SSL sta per scadere?

Il modo più semplice per verificare se il tuo certificato SSL sta per scadere è visitare il tuo sito web. La maggior parte dei browser hanno integrata la possibilità di consultare da vicino il certificato. Le informazioni di cui hai bisogno si trovano a soli due clic da te.

Clicca sul simbolo del lucchetto vicino all’URL. A questo punto si apre un menu a tendina in cui è possibile ottenere ulteriori informazioni sul tuo certificato. La maggior parte dei browser nasconde le informazioni sulla validità sotto “certificato” o “mostra certificato”. Se ci clicchi sopra scopri il periodo di validità del certificato.

Se tutto ciò ti risulta troppo difficile, ci sono diversi tools che ti aiutano nel trovare queste informazioni, per esempio il SSL check di Ionos. Devi semplicemente inserire il tuo URL e otterrai le informazioni riguardanti la validità. Inoltre esistono anche diverse suite, alcune delle quali a pagamento, che monitorano lo stato di sicurezza del tuo sito web e ti informano di eventuali problemi.

Un terzo modo è l’interfaccia della tua autorità di certificazione: qui puoi solitamente visualizzare tutti i certificati che hai utilizzato e ordinarli per data di scadenza. Questa panoramica vale oro se utilizzi diversi certificati e quindi ne potresti perdere rapidamente la traccia.

Il certificato SSL utilizza protocolli obsoleti

L’SSL utilizza protocolli obsoleti, tuttavia il numero di webmaster che utilizzano l’SSL è molto inferiore a quello che ci si potrebbe aspettare. Questo perché l’SSL è considerato tecnicamente obsoleto dal 2015. L’attuale gold standard è TLS 1.3, pubblicato nel 2018.

La tecnologia di Secure Socket Layer è stata quindi sostituita da Transport Layer Security. Nel linguaggio comune, tuttavia, TLS è spesso equiparato alla crittografia SSL. Anche i provider utilizzano ancora SSL come sinonimo di TLS per ragioni di marketing, quindi questa confusione persisterà per qualche tempo.

Gli ulteriori sviluppi si sono resi necessari perché l’algoritmo di crittografia di SSL poteva già essere decifrato da attacchi. TLS offre una protezione significativamente migliore. Inoltre, TLS cripta i messaggi in modo pseudocasuale e quindi li protegge meglio dagli attacchi. Nel complesso, l’attuale versione TLS 1.3 è chiaramente superiore all’ultima versione SSL 3.0, pubblicata vent’anni fa.

Nella mia pagina manca la crittografia HTTPS: cosa posso fare?

La mancanza di crittografia HTTPS può riferirsi non solo all’intero sito web, ma anche al problema dei contenuti misti: quindi una parte dei contenuti viene consegnata in chiaro mentre il resto viene crittografato. Spesso il contenuto non criptato è costituito da vecchi link e directory il cui percorso inizia ancora con http:// invece che con https://.

Le immagini sono particolarmente colpite. Siti web come Why no padlock analizzano la tua presenza online alla ricerca di questi file e directory e li elencano. In alternativa puoi trovare i file corrispondenti nella console web di Firefox e Chrome.

Tutto ciò che poi dovrai fare è spostare i file interessati su https:// e modificare i collegamenti di conseguenza.

Se il tuo sito web non utilizza affatto la crittografia, dovresti integrarla il prima possibile. I certificati SSL costano solo pochi euro all’anno e l’installazione è molto facile anche per i laici. In molti casi è sufficiente richiedere un file e caricarlo sul server. Se per esempio lavori con WordPress, ci sono alcuni potenti componenti aggiuntivi che puoi utilizzare per implementare la crittografia. In alternativa, la crittografia è inclusa nelle suite di sicurezza o può essere richiesta direttamente all’hoster.

Cosa succede ai moduli sulle pagine non criptate?

I dati inviati tramite moduli su pagine non criptate possono in linea di principio essere intercettati da terzi non autorizzati. Ciò significa che non è sicuro per i tuoi clienti (o anche per te stesso) inserire dati in questi moduli.

Con la crittografia i dati vengono trasmessi in modo irriconoscibile. Server e dominio comunicano in una sorta di codice segreto che può essere decifrato solo dal destinatario. Se un hacker riesce ad accedere ai dati trasmessi, riceverà solo una stringa di caratteri crittografati, quindi inutilizzabile. I destinatari autorizzati, invece, dispongono della chiave del codice e possono quindi decifrare i dati inviati. La crittografia quindi non protegge dall’intercettazione in sé, ma dall’uso dei dati intercettati.

Ogni volta che un sito web raccoglie dati personali, deve anche proteggerli durante la trasmissione. Questo è un requisito legale dal 2018. I moduli su pagine non criptate possono quindi comportare una multa. I browser proteggono la sicurezza dei loro utenti. Segnalano che un sito web è insicuro e l’utente dovrebbe astenersi dal trasmettere dati sensibili.

21.09.2022