Come posso riconoscere un certificato SSL valido?

Ogni browser moderno mostra, nella barra d’indirizzo, se un sito sta utilizzando una connessione HTTPS criptata, indicandone la validità del certificato SSL.

Osservare la barra d’indirizzo del browser

Il seguente screenshot mostra Internet Explorer durante l’accesso a due siti di banche diverse:

Confronto tra protocollo HTTP e HTTPS
  • Richiedendo il primo indirizzo, santander.co.uk, l’utente arriva all’URL http://www.santander.co.uk/uk/index – una connessione non criptata.
  • Richiedendo il secondo indirizzo, db.com, l’utente arriva all’URL https://www.db.com/index_e.htm – una connessione criptata.

Esempi di certificati SSL non validi su Chrome

Per entrambi i domini dello screenshot seguente, il certificato SSL non è valido e il browser Chrome indica quanto segue:

Two invalid SSL certificates

Perché entrambi i certificati SSL non sono validi e utilizzano una connessione non criptata?

  • A sinistra (in rosso): un certificato SSL auto-firmato del quale non è possibile stabilire l’identità
  • A destra (in giallo): un certificato SSL con problemi di CA (Certification Authority), del quale è stata certificata l’identità. Non tutte le risorse sono però caricate tramite una connessione criptata, per cui il sito potrebbe essere potenzialmente rischioso per la sicurezza, in quanto il browser non può confermare la validità del certificato

Attenzione: perché un certificato SSL valido è importante

Tramite un certificato SSL è possibile stabilire delle connessioni HTTPS criptate. Questo è sicuro solo nel caso in cui il certificato SSL in uso renda valido il 100% del sito. Senza crittografia, tutti i dati inviati e ricevuti dal tuo sito potrebbero essere visibili su Internet e quindi potenzialmente manipolabili da terze parti.

Un altro punto, leggermente meno importante del precedente, è che l’HTTPS è un fattore di Ranking (minore) per Google: in caso di certificato non valido, il tuo sito non otterrà alcun vantaggio.

Con il Certificate Check di SSL-Trust.com potrai ricevere delle informazioni aggiuntive sul certificato SSL di un sito.

Esempio di certificato affidabile:

Trustworthy SSL Certificate

Esempio di certificato non affidabile:

Untrustworthy SSL Certificate

I trabocchetti dei certificati SSL: possibili cause per cui non possono essere validati

Le seguenti circostanze potrebbero impedire al browser di verificare l’attendibilità di un certificato SSL, e quindi renderlo ai suoi occhi non affidabile:

  • Il certificato è auto-firmato (self-signed)
  • Il certificato presenta un root sconosciuto, cioè ha problemi di Certification Authority (CA)
  • Il certificato è scaduto
  • Il dominio al quale si ha avuto accesso non corrisponde al range di dominio registrato nel certificato
  • Il sito web contiene delle risorse non criptate, ad esempio caricate da siti di terze parti e prive di supporto HTTPS
  • Il supporto dell’indicazione nome server (SNI) non è presente nel certificato
  • Il protocollo non è aggiornato, in quanto è stata usata una vecchia versione di OpenSSL. Usa sempre la TLS Library più recente!
    • SSL v2 non è sicuro e non dovrebbe essere usato  
    • SSL v3, TLS v1.0 e TLS v1.1 sono da tempo non più sicuri
    • TLS v1.2 è attualmente ancora lo standard
    • TLS v1.3 è al momento la versione più moderna e sicura. Essa non è però più compatibile con le configurazioni precedenti, per cui può essere difficile da implementare
  • La lunghezza della chiave è inferiore ai 2048 bit

Video esplicativo (inglese): cos’è l’SSL?

Questo video spiega le basi di SSL e l’esatto funzionamento della crittografia.

Informazioni aggiuntive sull’argomento