Che cos'è un certificato SSL? La guida completa - IT

di   |  Ultimo aggiornamento:  |  0 Commenti  

Su questa pagina: [nascondere]

  1. Come funzionano i certificati SSL
  2. Tipi di certificati SSL
  3. Certificati SSL gratuiti o a pagamento
  4. Come ottenere un certificato SSL
  5. Certificati SSL e SEO
  6. Problemi e soluzioni SSL comuni
  7. Lo stato attuale di TLS (2026)
  8. Hai bisogno di un certificato SSL?
  9. Scegliere il certificato giusto
  10. Domande frequenti

Un certificato SSL è un file digitale che crittografa i dati tra il browser di un visitatore e il server del tuo sito web. È ciò che inserisce l'icona del lucchetto nella barra degli indirizzi e cambia “http” per “https.” Senza uno, i browser avvisano i visitatori che il tuo sito non è sicuro, e tutti i dati che inseriscono viaggiano non protetti.

Ecco la cosa che la maggior parte delle persone non capisce: SSL (Livello di socket sicuri) è in realtà obsoleto. La tecnologia che utilizziamo oggi è TLS (Transport Layer Security), ma tutti lo chiamano ancora “SSL” per abitudine. Quando qualcuno menziona un certificato SSL in 2026, significano un certificato TLS. I termini sono intercambiabili.

Che cos'è un certificato SSL e tutto ciò che devi sapere al riguardo? immagine dell'articolo

Questa guida spiega come funzionano i certificati SSL/TLS, le diverse tipologie disponibili, come ottenerne uno per il tuo sito web, e perché sono importanti per la sicurezza e il posizionamento nei risultati di ricerca.

Ultimo aggiornamento: febbraio 2026. Tutte le statistiche e le informazioni sul protocollo sono state verificate.

Come funzionano i certificati SSL

Un certificato SSL è un piccolo file di dati installato su un server web. Fa due cose: dimostra l’identità del sito web, e consente la comunicazione crittografata. Considerala come una carta d'identità digitale combinata con una stretta di mano segreta.

Il processo di crittografia

Quando visiti un sito Web con un certificato SSL, il tuo browser e il server passano attraverso un processo chiamato handshake TLS. Questo avviene in millisecondi, prima ancora che la pagina venga caricata.

La stretta di mano funziona così:

  1. Il tuo browser contatta il server e richiede una connessione sicura
  2. Il server invia il suo certificato SSL, che contiene una chiave pubblica (un pezzo di codice utilizzato per la crittografia)
  3. Il tuo browser verifica il certificato confrontandolo con un elenco di autorità di certificazione attendibili (CA)
  4. Se valido, il tuo browser crea una chiave di sessione, lo crittografa con la chiave pubblica del server, e lo rimanda indietro
  5. Il server decodifica la chiave di sessione utilizzando la sua chiave privata (che ha solo il server)
  6. Entrambe le parti ora condividono la stessa chiave di sessione e usarlo per crittografare tutti i dati durante la connessione

Questo sistema a due chiavi (pubblici e privati) è chiamata crittografia asimmetrica. La parte intelligente? La chiave pubblica può essere condivisa apertamente, ma solo la chiave privata corrispondente può decrittografare i dati crittografati con essa. Una volta che entrambe le parti hanno la chiave di sessione, passano alla crittografia simmetrica più veloce per il trasferimento effettivo dei dati.

Cosa c'è dentro un certificato SSL

Un certificato SSL contiene diverse informazioni:

  • Il nome di dominio per il quale è stato emesso il certificato
  • L'organizzazione o la persona a cui è stato rilasciato
  • L'autorità di certificazione che lo ha emesso
  • La firma digitale della CA
  • Le date di emissione e di scadenza del certificato
  • La chiave pubblica

I browser utilizzano queste informazioni per verificare che si stiano connettendo al sito Web legittimo, non un impostore.

Tipi di certificati SSL

I certificati SSL differiscono in due modi: quanto accuratamente verificano l'identità del titolare del certificato, e quanti domini coprono.

Livelli di convalida

Convalida del dominio (DV) è il tipo più elementare. L'autorità di certificazione conferma solo che controlli il dominio, in genere tramite la verifica dell'e-mail o l'aggiunta di un record DNS. I certificati DV richiedono pochi minuti per essere emessi e costano ovunque, da gratuiti a $50 per anno. Sono adatti per blog personali, portafogli, e piccoli siti che non gestiscono dati sensibili.

Validazione dell'organizzazione (OV) aggiunge un livello di verifica dell'identità. La CA conferma che l'organizzazione esiste, controlla i documenti di registrazione dell'impresa, e verifica l'indirizzo fisico. Questo processo richiede da uno a tre giorni lavorativi. I certificati OV sono appropriati per le aziende, organizzazioni non profit, e siti governativi in ​​cui gli utenti traggono vantaggio dal sapere chi si nasconde dietro il sito web.

Validazione estesa (EV) comporta il controllo più approfondito. La CA ne verifica l'esistenza giuridica, posizione fisica, stato operativo, e anche l’autorità del richiedente di richiedere il certificato. Sono necessari nove passaggi di verifica aggiuntivi rispetto all'OV. L'emissione richiede da cinque a quindici giorni lavorativi e costa tra $200 e $700 per anno. Istituzioni finanziarie, grandi siti di e-commerce, e le organizzazioni sanitarie in genere utilizzano i certificati EV.

Ecco il problema: da 2019, i browser non mostrano più differenze visive tra questi tipi di certificato nella barra degli indirizzi. Tutti i siti protetti mostrano la stessa icona del lucchetto. Devi fare clic sul lucchetto e visualizzare i dettagli del certificato per vedere la differenza.

Copertura del dominio

Certificati a dominio singolo proteggere esattamente un dominio, come esempio.com.

Certificati con caratteri jolly proteggere un dominio e tutti i suoi sottodomini. Un certificato per *.example.com coprirebbe blog.example.com, negozio.esempio.com, e qualsiasi altro sottodominio. però, i caratteri jolly sono disponibili solo per i certificati DV e OV, non EV.

Certificati multidominio (chiamato anche SAN o Nomi alternativi soggetto) proteggere più domini diversi con un unico certificato. Un singolo certificato potrebbe coprire example.com, esempio.net, e Differentsite.org.

Certificati SSL gratuiti o a pagamento

La crittografia di un certificato gratuito è identica a quella di uno a pagamento. Nessuna differenza nella sicurezza effettiva. Dove differiscono è il tipo di convalida, supporto, e funzionalità extra.

Crittografiamo e opzioni gratuite

Let's Encrypt domina il mercato SSL con 63.4% quota di mercato a giugno 2025. Fornisce certificati DV gratuiti ampiamente attendibili da tutti i principali browser. Altre opzioni gratuite includono ZeroSSL e il livello gratuito di Cloudflare.

I certificati gratuiti presentano alcune limitazioni:

  • È disponibile solo la convalida DV (niente OV o EV)
  • I certificati scadono ogni 90 giorni (il rinnovo automatizzato gestisce questo)
  • Nessuna garanzia o supporto
  • Nessun sigillo del sito o badge di fiducia

Per la maggior parte dei siti web, queste limitazioni non contano. Un blog personale, portafoglio, o il sito di una piccola impresa funziona perfettamente con un certificato gratuito.

Quando i certificati a pagamento hanno senso

Considera un certificato a pagamento se necessario:

  • Organizzazione o convalida estesa per visualizzare informazioni aziendali verificate
  • Protezione della garanzia (che vanno da $10,000 per $1,500,000 a seconda del certificato)
  • Supporto dedicato per questioni relative ai certificati
  • Sigilli del sito che alcuni studi suggeriscono di aumentare le conversioni alla cassa

Siti di e-commerce che elaborano pagamenti con carta di credito, banche, e le organizzazioni sanitarie tendono a scegliere certificati OV o EV a pagamento. I segnali di fiducia e la tutela legale giustificano il costo per queste imprese.

Come ottenere un certificato SSL

Pronto per aggiungere SSL al tuo sito? Esistono tre approcci principali, dal più semplice al più pratico.

Opzione 1: Attraverso il tuo host web (Il più semplice)

La maggior parte dei provider di hosting ora include certificati SSL gratuiti. Cerca l'integrazione Let's Encrypt o un'opzione SSL con un clic nel pannello di controllo dell'hosting. Fornitori come quelli nel nostro confronto dell'hosting condiviso in genere gestiscono l'intera configurazione automaticamente.

I passaggi variano in base all'host, ma generalmente:

  1. Accedi al pannello di controllo del tuo hosting (cPanel, Plesk, o dashboard personalizzata)
  2. Trova la sezione Sicurezza o SSL
  3. Abilita SSL gratuito o Crittografiamo
  4. Attendi qualche minuto affinché il certificato venga installato

Nessuna conoscenza tecnica richiesta. L'host gestisce l'installazione e il rinnovo automatico.

Opzione 2: Direttamente da un'autorità di certificazione

Per acquistare un certificato a pagamento o se il tuo host non offre SSL gratuito:

  1. Scegli un'autorità di certificazione (DigiCert, Sectigo, Segno Globale, e GoDaddy sono i principali fornitori)
  2. Seleziona il tipo di certificato (DV, OV, o EV) e copertura del dominio
  3. Genera una CSR (Richiesta di firma del certificato) dal tuo server
  4. Convalida completa (e-mail, DNS, o verifica del file per DV; documentazione aggiuntiva per OV/EV)
  5. Scarica e installa il certificato emesso sul tuo server

La CSR contiene la chiave pubblica e le informazioni sul dominio del tuo server. La documentazione del tuo provider di hosting in genere spiega come generarne uno.

Opzione 3: Libero da Let's Encrypt Direct

Se il tuo host non supporta Let's Encrypt automaticamente, puoi installarlo manualmente utilizzando Certbot o ACME simile (Ambiente di gestione automatizzata dei certificati) clienti. Questi strumenti automatizzano la richiesta di certificato e il processo di installazione:

  1. Installa Certbot sul tuo server
  2. Esegui il comando per il tuo tipo di server web (Apache, nginx, eccetera.)
  3. Certbot ottiene e installa automaticamente il certificato
  4. Imposta il rinnovo automatico (Anche Certbot può farlo)

Ciò richiede l'accesso da riga di comando al tuo server. È comune su Hosting VPS dove gestisci tu stesso il server.

Verifica dell'installazione

Dopo aver installato un certificato SSL, controlla che funzioni:

  • Visita il tuo sito con https:// e cerca l'icona del lucchetto
  • Utilizza uno strumento di controllo SSL (Acquirente SSL, Laboratori SSL, o simili) per verificare la corretta configurazione
  • Prova tutte le pagine, non solo la home page
  • Verifica che gli URL HTTP reindirizzino a HTTPS

Come verificare se un sito Web dispone di SSL

Vuoi sapere se un sito che stai visitando è sicuro? Ecco cosa cercare:

  • Guarda l'URL. I siti sicuri iniziano con https:// (notare il “S”). I siti non sicuri utilizzano http://.
  • Controlla il lucchetto. Nella barra degli indirizzi viene visualizzata l'icona di un lucchetto chiuso per connessioni sicure.
  • Fare clic sul lucchetto. Questo rivela i dettagli del certificato: chi lo ha emesso, quando scade, e a quale organizzazione appartiene.
  • Attenzione agli avvertimenti. Vengono visualizzati i browser “Non sicuro” o bloccare completamente l'accesso per i siti scaduti, non valido, o certificati mancanti.

Se stai per inserire informazioni sensibili e non vedi https:// o un lucchetto, non procedere.

Certificati SSL e SEO

SSL aiuta il tuo posizionamento su Google? Più o meno. Google ha confermato nuovamente HTTPS come fattore di ranking 2014, ma il suo impatto oggi è minimo.

John Mueller di Google ha affermato che SSL no “aumento” SEO, poiché praticamente ogni sito ora utilizza HTTPS. Con 92.6% dei siti principali che utilizzano HTTPS per impostazione predefinita (W3Tech, gennaio 2026), ogni vantaggio in classifica viene di fatto annullato perché ce l’hanno tutti.

Detto ciò, SSL è ancora importante per la SEO in modo indiretto:

  • Gli avvisi del browser danneggiano l'esperienza dell'utente. Vengono visualizzati Chrome e altri browser “Non sicuro” avvisi per i siti HTTP, costringendo i visitatori ad andarsene.
  • Conservazione dei dati di riferimento. Il traffico dai siti HTTPS ai siti HTTP perde le informazioni sui referral nelle analisi.
  • Core Web Vitals. Un sito HTTPS configurato correttamente utilizzando TLS 1.3 può effettivamente caricarsi più velocemente grazie all'handshake migliorato del protocollo.

La conclusione: SSL non ti spingerà alla prima posizione, ma la sua mancanza danneggia attivamente il tuo sito. È un requisito di base, non un vantaggio competitivo.

Problemi e soluzioni SSL comuni

Gli errori SSL sembrano spaventosi, ma la maggior parte ha soluzioni semplici.

Certificato scaduto

I certificati hanno periodi di validità limitati, ora in genere 90 giorni per i certificati gratuiti e fino a un anno per quelli a pagamento. Quando un certificato scade, i browser visualizzano un avviso a pagina intera che blocca l'accesso al tuo sito. I visitatori vedono messaggi allarmanti come “La tua connessione non è privata” o “SEC_ERROR_EXPIRED_CERTIFICATE.” La maggior parte non supererà questo avviso. Se ne andranno.

Se vedi un avviso di scadenza sul tuo sito, contatta il tuo provider di hosting o rinnova manualmente. Meglio ancora: impostare il rinnovo automatico per impedirlo del tutto.

Mancata corrispondenza del nome

Questo errore viene visualizzato quando il certificato non corrisponde al dominio che stai visitando. Cause comuni: visitare www.example.com quando il certificato copre solo example.com (o viceversa), o errore di ortografia del dominio al momento dell'ordine del certificato. La soluzione è garantire che il tuo certificato copra tutte le varianti del tuo nome di dominio.

Contenuti misti

Il tuo sito viene caricato tramite HTTPS, ma alcune immagini, script, o i fogli di stile vengono caricati su HTTP. I browser lo contrassegnano come non sicuro. Risolvi il problema aggiornando tutti gli URL delle risorse su HTTPS o utilizzando URL relativi al protocollo.

Autorità di certificazione non attendibile

I browser mantengono elenchi di CA attendibili. I certificati autofirmati o quelli provenienti da CA sconosciute attivano avvisi. Utilizzare una CA riconosciuta, o se si esegue il test localmente, aggiungi il tuo certificato di sviluppo al trust store del tuo sistema.

Problemi di versione TLS

Server che utilizzano protocolli obsoleti (SSL 3.0, TLS 1.0, o TLS 1.1) causerà errori di connessione nei browser moderni. Questi protocolli sono stati deprecati a causa di vulnerabilità della sicurezza. Configura il tuo server per utilizzare TLS 1.2 al minimo, preferibilmente TLS 1.3.

Lo stato attuale di TLS (2026)

Molte cose sono cambiate da quando Netscape ha creato SSL 1994.

Cronologia del protocollo

  • 1994: SSL 1.0 sviluppato ma mai pubblicato (difetti di sicurezza)
  • 1995: SSL 2.0 lanciato (deprecato 2011)
  • 1996: SSL 3.0 rilasciato (deprecato 2015 dopo l'attacco del BARBONE)
  • 1999: TLS 1.0 arriva come “SSL3.1” con nuovo nome (deprecato 2021)
  • 2006: TLS 1.1 rilasciato (deprecato 2021)
  • 2008: TLS 1.2 rilasciato (standard minimo attuale)
  • 2018: TLS 1.3 rilasciato (ultimo, consigliato)

Oggi, TLS 1.2 è il protocollo minimo accettabile. Molti host e browser stanno spingendo verso TLS 1.3 come predefinito.

TLS 1.3, rilasciato dentro 2018, è ora supportato da 75.3% dei migliori siti web. Offre strette di mano più veloci, rimuove gli algoritmi crittografici obsoleti, e impone la perfetta segretezza in avanti (PFS) per impostazione predefinita. PFS significa che ogni sessione utilizza chiavi di crittografia univoche. Anche se qualcuno successivamente ruba la chiave privata del server, non possono decrittografare le conversazioni passate.

Prossimi cambiamenti

Si stanno verificando diversi cambiamenti 2026:

  • Durata dei certificati più breve. La validità massima scende a sei mesi 2026, eventualmente raggiungendo 47 giorni entro 2029. Ciò rende essenziale il rinnovo automatizzato.
  • Modalità HTTPS-First di Chrome. A partire da ottobre 2026 (Cromo 154), i siti HTTP non crittografati richiederanno l'autorizzazione esplicita dell'utente per essere caricati.
  • Crittografiamo l'allineamento. Poiché Let's Encrypt utilizza già certificati da 90 giorni con rinnovo automatico, i siti che lo utilizzano non noteranno importanti cambiamenti nel flusso di lavoro.

Hai bisogno di un certificato SSL?

Risposta breve: sì. Se il tuo sito raccoglie informazioni sull'utente, gestisce gli accessi, o elabora i pagamenti, SSL è obbligatorio. Ma anche un semplice sito di brochure trae vantaggio da HTTPS.

Senza SSL:

  • I browser etichettano il tuo sito “Non sicuro”
  • I moduli di contatto trasmettono i dati in testo semplice
  • Gli utenti hanno meno probabilità di fidarsi del tuo sito
  • Alcune caratteristiche (come le API di geolocalizzazione) non funzionano su siti HTTP

Nello specifico per l'e-commerce, SSL è un requisito per la conformità PCI se gestisci i dati della carta di credito. Vedi il nostro Guida all'hosting e-commerce WordPress per ulteriori informazioni sulla configurazione sicura del negozio online.

Scegliere il certificato giusto

Abbina il tipo di certificato alle esigenze del tuo sito:

Blog personale o portfolio? Il certificato DV gratuito di Let's Encrypt è perfetto. Non c'è bisogno di pagare. Se sei giusto avviare un sito web, la maggior parte degli host lo include automaticamente.

Sito web per piccole imprese? DV gratuito funziona bene a meno che tu non voglia visualizzare informazioni aziendali verificate, in tal caso considerare OV.

Sito di e-commerce? OV o EV a seconda del volume delle transazioni e dell'importanza dei segnali di fiducia per i tuoi clienti. Anche la garanzia può essere rilevante.

Servizi finanziari, assistenza sanitaria, o impresa? EV fornisce il massimo livello di identità verificata. Ciò è importante per la conformità normativa e la fiducia dei clienti. Hosting dedicato gli ambienti spesso si abbinano ai certificati EV per la massima sicurezza.

Sottodomini multipli? Un certificato jolly consente di risparmiare denaro e semplifica la gestione rispetto ai certificati individuali.

Più domini diversi? Un certificato multidominio/SAN li copre tutti con un unico acquisto.

Domande frequenti

È un certificato SSL gratuito sicuro quanto uno a pagamento?

sì. La forza di crittografia è identica. I certificati gratuiti di Let’s Encrypt utilizzano gli stessi protocolli TLS e suite di crittografia dei costosi certificati a pagamento. Le differenze riguardano il livello di convalida (gratuito è solo DV), garanzia (nessuno gratuitamente), e supporto (solo comunità). Per scopi di crittografia, gratuito è altrettanto sicuro.

Con quale frequenza è necessario rinnovare i certificati SSL?

I certificati gratuiti di Let's Encrypt scadono ogni 90 giorni ma si rinnova automaticamente. I certificati a pagamento durano in genere un anno. A partire da 2026, il settore si sta muovendo verso periodi di validità più brevi, con i massimi di 90 giorni che diventeranno standard entro 2029. Il rinnovo automatico sta diventando essenziale.

SSL migliorerà il mio posizionamento su Google?

Non in modo significativo. Google chiama HTTPS a “fattore di ranking leggero.” Da quando è finita 92% dei siti principali utilizza già HTTPS, averlo non ti dà un vantaggio. però, non averlo attivamente ti danneggia attraverso gli avvisi del browser che allontanano i visitatori. Pensa a SSL come a un requisito, non un aumento del ranking.

Qual è la differenza tra SSL e TLS?

SSL (Livello di socket sicuri) era il protocollo originale, ultimo aggiornamento in 1996. TLS (Transport Layer Security) l'ho sostituito a partire dal 1999. Tutte le versioni SSL sono ora deprecate a causa di vulnerabilità della sicurezza. Ciò che chiamiamo “Certificati SSL” oggi utilizzano effettivamente TLS. Il nome rimase anche se la tecnologia sottostante cambiò.

Ho bisogno di SSL se il mio sito non dispone di moduli o accessi?

sì. Anche senza moduli, visualizzati dai browser “Non sicuro” avvisi sui siti HTTP. Ciò danneggia la fiducia e può aumentare la frequenza di rimbalzo. Inoltre, alcune funzionalità del browser richiedono HTTPS, e l'analisi perde i dati di riferimento dai siti HTTPS ai siti HTTP. Poiché è disponibile SSL gratuito, non c'è motivo di saltarlo.

Perché il mio browser dice che un sito è “Non sicuro” anche con lucchetto?

Questo di solito indica contenuti misti: la pagina principale viene caricata su HTTPS, ma alcune immagini, script, o i fogli di stile vengono caricati su HTTP. I browser lo segnalano perché le risorse non crittografate potrebbero essere intercettate o modificate. Il proprietario del sito deve aggiornare tutti gli URL delle risorse per utilizzare HTTPS.

Ricercato e scritto da:
Editor di HowToHosting
HowToHosting.guide fornisce competenze e approfondimenti sul processo di creazione di blog e siti Web, trovare il giusto provider di hosting, e tutto ciò che si frappone. Per saperne di più...

Nessun argomento correlato.

Lascio un commento

L'indirizzo email non verrà pubblicato. i campi richiesti sono contrassegnati *

Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo
Su HowToHosting.Guide, offriamo recensioni trasparenti di web hosting, garantire l’indipendenza dalle influenze esterne. Le nostre valutazioni sono imparziali poiché applichiamo standard rigorosi e coerenti a tutte le recensioni.
Mentre potremmo guadagnare commissioni di affiliazione da alcune delle società presenti, queste commissioni non compromettono l'integrità delle nostre recensioni né influenzano le nostre classifiche.
I guadagni dell'affiliato contribuiscono a coprire l'acquisizione dell'account, spese di prova, Manutenzione, e lo sviluppo del nostro sito web e dei sistemi interni.
Affidati a howtohosting.guide per approfondimenti affidabili e sincerità sull'hosting.