speedtest.it
← Blog
Guide & Tutorial

Certificati SSL: cosa sono, perché servono e come funzionano (spiegato semplice)

Cosa sono i certificati SSL/TLS, come funzionano HTTPS e la crittografia asimmetrica, e perché ogni sito ha bisogno di un certificato valido.

Certificati SSL: cosa sono, perché servono e come funzionano (spiegato semplice)

Ogni volta che vedi il lucchetto nella barra degli indirizzi del browser, stai guardando il risultato di un meccanismo di fiducia sofisticato che protegge miliardi di transazioni ogni giorno. Eppure pochi sanno davvero come funziona, cosa significa quando "scade", e perché Google penalizza i siti che non ce l'hanno. Questa guida risponde a tutte queste domande, senza dare nulla per scontato.

Cos'è un certificato SSL?

Il nome "SSL" viene da Secure Sockets Layer, il protocollo originale inventato da Netscape nel 1995. Tecnicamente SSL è stato sostituito da TLS (Transport Layer Security) già dalla fine degli anni '90 — la versione corrente è TLS 1.3 — ma per abitudine tutti continuano a chiamarli "certificati SSL".

Un certificato SSL/TLS è un documento digitale emesso da un'autorità di certificazione (CA, Certificate Authority) che dichiara:

  1. Che il dominio esempio.com appartiene a chi dice di esserne il proprietario
  2. Che le comunicazioni con quel dominio verranno cifrate

Il certificato contiene la chiave pubblica del sito. Il browser usa questa chiave per avviare una comunicazione cifrata, senza che la chiave privata (che resta sul server) viaggi mai in rete.

Come funziona la cifratura SSL/TLS?

Quando visiti un sito HTTPS si svolge una procedura chiamata TLS handshake, quasi istantanea per te ma tecnicamente raffinata:

  1. Il tuo browser dice al server: "Voglio una connessione sicura, ecco i protocolli e gli algoritmi che supporto"
  2. Il server risponde con il certificato SSL (che contiene la chiave pubblica) e sceglie gli algoritmi da usare
  3. Il browser verifica il certificato: è firmato da una CA fidata? È ancora valido (non scaduto)? Il dominio corrisponde?
  4. Viene generata una chiave di sessione condivisa (usando crittografia asimmetrica, ma solo per lo scambio della chiave)
  5. Da qui in poi tutto il traffico è cifrato con la chiave di sessione (cifratura simmetrica, molto più veloce)

Il risultato: anche se qualcuno intercetta il traffico sulla rete Wi-Fi, vede solo dati cifrati indecifrabili senza la chiave privata del server.

Tipi di certificati SSL

Non tutti i certificati sono uguali. La differenza principale è il livello di validazione dell'identità di chi lo richiede.

DV — Domain Validation

Il livello più semplice. La CA verifica solo che chi richiede il certificato controlli il dominio (tramite un file nel sito o un record DNS). Il processo è automatico e dura minuti. Let's Encrypt emette certificati DV gratuitamente.

Adatto a: blog, siti personali, applicazioni web interne.

OV — Organization Validation

La CA verifica non solo il dominio ma anche l'esistenza dell'organizzazione: ragione sociale, indirizzo, numero di telefono. Richiede qualche giorno e ha un costo.

Adatto a: siti aziendali, portali B2B, servizi che trattano dati sensibili.

EV — Extended Validation

Il controllo più approfondito: verifica legale completa dell'organizzazione. Un tempo mostrava il nome dell'azienda in verde nella barra degli indirizzi (Chrome e Firefox hanno rimosso questa visualizzazione nel 2019, ma il certificato EV ha ancora valore per chi fa ispezione manuale).

Adatto a: banche, istituzioni finanziarie, e-commerce di grandi dimensioni.

Wildcard e multi-dominio

I certificati wildcard (*.esempio.com) coprono tutti i sottodomini di un dominio con un unico certificato. I certificati SAN/multi-dominio coprono più domini diversi in un unico certificato.

Let's Encrypt: certificati gratuiti per tutti

Dal 2015, Let's Encrypt — gestito da Internet Security Research Group (ISRG) con il supporto di Mozilla, Google e altri giganti tech — emette certificati DV gratuiti con rinnovo automatico ogni 90 giorni.

Oggi la maggior parte degli hosting provider integra Let's Encrypt direttamente nel pannello di controllo: bastano un click o un comando per avere HTTPS. Con Certbot su server Linux puoi ottenere e rinnovare automaticamente i certificati per i tuoi siti.

Il risultato? Quasi il 100% dei siti web usa oggi HTTPS — una percentuale impensabile prima di Let's Encrypt.

Perché Google penalizza i siti senza SSL

Nel 2014 Google ha annunciato che HTTPS è un fattore di ranking nei risultati di ricerca. Non è il fattore più importante, ma a parità di altri elementi il sito HTTPS è preferito.

Ma c'è di più: a partire dal 2018, Chrome mostra "Non sicuro" nella barra degli indirizzi per tutti i siti HTTP (non HTTPS) quando l'utente interagisce con form o inserisce dati. Dal 2023, Chrome mostra l'avviso per tutti i siti HTTP senza eccezioni.

L'impatto pratico: un sito senza SSL vede aumentare il tasso di abbandono (le persone vedono l'avviso e se ne vanno) e perde posizioni su Google.

Certificato scaduto: cosa succede?

I certificati SSL hanno una scadenza (massimo 398 giorni secondo le ultime regole del settore, tipicamente 90 giorni per Let's Encrypt). Quando scade:

  • Il browser mostra un avviso rosso "La connessione non è privata" o "Il tuo collegamento non è privato"
  • L'utente può ignorare l'avviso e procedere, ma la maggior parte non lo fa
  • I motori di ricerca possono penalizzare il sito

Per i certificati Let's Encrypt, il rinnovo è automatico tramite Certbot o il pannello hosting. Per i certificati a pagamento, imposta un promemoria con anticipo di 30 giorni rispetto alla scadenza.

Controlla il certificato del tuo sito

Vuoi sapere se il certificato SSL del tuo sito (o di un sito che stai analizzando) è valido, da chi è stato emesso e quando scade?

👉 SSL Certificate Checker — controlla gratis

Il nostro strumento mostra in pochi secondi: stato di validità, autorità emittente, tipo di certificato, data di scadenza e l'intera catena di certificazione.

Domande frequenti

Un sito con HTTPS è automaticamente sicuro? HTTPS garantisce che la comunicazione tra te e il sito è cifrata. Non garantisce che il sito stesso sia affidabile o che non contenga malware. I siti di phishing usano HTTPS regolarmente. Guarda il lucchetto, ma controlla anche il dominio.

Posso usare un certificato SSL su più siti? Con un certificato wildcard (*.miodominio.it) puoi coprire tutti i sottodomini di un dominio. Con un certificato multi-dominio (SAN) puoi coprire domini completamente diversi. Un certificato standard vale solo per il dominio specifico per cui è stato emesso.

Devo riavviare il server dopo il rinnovo del certificato? Dipende dal server web. Nginx e Apache solitamente richiedono un reload della configurazione (nginx -s reload o systemctl reload apache2) per applicare il nuovo certificato. Certbot gestisce questo automaticamente nell'hook post-rinnovo.

← Tutti gli articoli