Certificati digitali SSL/TLS - Cosa sono e a cosa servono

Premessa

Il nome “Certificato SSL” deriva dal protocollo SSL (Secure Sockets Layer), sviluppato negli anni '90 per stabilire connessioni cifrate. Oggi SSL è considerato obsoleto e insicuro ed è stato rimpiazzato da TLS (Transport Layer Security), disponibile nelle versioni 1.2 e 1.3. Nonostante questo, per consuetudine si continua a usare il termine “SSL” per indicare i certificati digitali.

Cos'è un certificato SSL/TLS

È un file emesso da una Certification Authority (CA) che contiene:

  • una chiave pubblica associata al dominio;
  • la data di scadenza;
  • l’ente emittente (CA);
  • un numero di serie univoco;
  • una firma digitale della CA.

È legato a uno o più hostname, ad esempio www.gidinet.com o gidinet.com. Esistono anche certificati wildcard, validi per tutti i sottodomini (es. *.gidinet.com), oppure certificati multi-dominio (SAN) che coprono più domini diversi.

A cosa serve

I certificati SSL/TLS permettono di cifrare le comunicazioni e di garantire l'identità del server. Sono usati per:

  • attivare connessioni HTTPS nei siti web;
  • proteggere sessioni email (IMAP, SMTP, POP3);
  • abilitare VPN e altri servizi sicuri;
  • rendere più affidabili i sistemi di autenticazione (login, aree riservate);
  • soddisfare requisiti normativi o di sicurezza (es. GDPR, PCI-DSS).

Tipi di certificati: DV, OV, EV

I certificati si differenziano per il livello di validazione:

  • DV (Domain Validated): verifica solo il controllo tecnico sul dominio. Emissione rapida e automatica.
  • OV (Organization Validated): verifica anche i dati aziendali del richiedente.
  • EV (Extended Validation): richiede una verifica approfondita dell’identità legale del richiedente. Attiva indicatori grafici nei browser (es. nome società nella barra URL).

I certificati EV e OV possono includere coperture assicurative contro compromissioni della CA o dell’algoritmo utilizzato.

Il livello di cifratura della connessione non dipende dal tipo di certificato: DV, OV ed EV usano tutti lo stesso protocollo TLS (1.2 o 1.3) e cipher suite. Cambia solo il livello di fiducia che il certificato offre sull’identità del soggetto che lo ha richiesto.

Durata e rinnovo

I certificati hanno una scadenza. I più comuni:

  • 90 giorni: tipico dei certificati gratuiti (es. Let’s Encrypt). Necessitano rinnovo automatico.
  • 1 anno: tipico dei certificati commerciali.

Una durata breve ha anche un vantaggio di sicurezza: riduce la finestra di vulnerabilità in caso di compromissione della chiave privata.

Certificati gratuiti e commerciali

Gratuiti

  • Let’s Encrypt
  • ZeroSSL
  • Servizi integrati in hosting, CDN o cloud (es. Cloudflare, AWS, Google)

Commerciali

  • DigiCert, GeoTrust, Thawte, RapidSSL
  • Sectigo (ex Comodo)
  • GlobalSign
  • Entrust
  • GoDaddy

I certificati commerciali offrono livelli OV/EV e assistenza dedicata, con supporto a più domini, wildcard, SAN e garanzie.

Modalità di validazione

La CA deve verificare che il richiedente abbia il controllo del dominio. Le modalità più comuni sono:

  • HTTP: pubblicazione di un file su una URL specifica.
  • DNS: creazione di un record TXT.
  • Email: invio a indirizzi standard del dominio (admin@, hostmaster@, ecc.).

I pannelli hosting moderni automatizzano queste fasi con supporto al protocollo ACME (es. Let’s Encrypt), usando verifica via HTTP o DNS.

Se il pannello utilizza la verifica via HTTP, basta che il sito sia attivo sull'hosting. Se invece usa verifica DNS, è necessario che il dominio punti ai nameserver del provider.

Certificati SSL/TLS e record DNS CAA

I record CAA sono particolari record DNS che permettono di specificare quali Certification Authority (CA) sono autorizzate a emettere certificati per un dominio. Una volta deciso come pubblicare il sito e quale CA utilizzare, l'aggiunta di un record CAA aumenta la sicurezza: ogni CA è tenuta a verificarne la presenza prima di emettere un certificato. Se il record non consente l'emissione, la richiesta viene rifiutata.

Scopri il DNS Premium GiDiNet: supporto ai record CAA, 5 datacenter, alta affidabilità anche con traffico elevato. Ideale per siti business, servizi email professionali e progetti in crescita.
Se si utilizza il metodo di validazione DNS e il dominio punta ai nameserver dell'hosting provider, è importante che i loro nameserver supportino anche la gestione dei record CAA. In caso contrario, non sarà possibile definire restrizioni sulla Certification Authority autorizzata.

Best practice

  • Abilitare solo TLS 1.2 e 1.3 e disabilitare protocolli e suite deboli.
  • Forzare HTTPS con redirect 301 e valutare HSTS.
  • Abilitare OCSP stapling se supportato.
  • Monitorare scadenze e automatizzare i rinnovi.
  • Proteggere la chiave privata e limitarne l’accesso.

Domande frequenti

Un certificato EV cifra meglio di un DV?

No. La sicurezza della connessione dipende da TLS e dalle cipher suite supportate, non dal livello di validazione.

Quali sono i vantaggi dei certificati con scadenza a 90 giorni?

La durata breve riduce la finestra di vulnerabilità in caso di compromissione della chiave privata e incentiva il rinnovo automatizzato.

Meglio wildcard o SAN?

Wildcard è pratico per molti sottodomini dello stesso dominio. SAN è utile per coprire domini e sottodomini diversi nello stesso certificato.

Quando scegliere DV, OV o EV?

DV per cifratura rapida e automatica; OV per siti aziendali con maggiore necessità di fiducia; EV per contesti ad alta criticità dove è richiesta un’identificazione più forte e coperture assicurative.

Come funziona la validazione ACME?

Con ACME la CA verifica il controllo del dominio tramite una risorsa temporanea su HTTP (HTTP-01) o un record TXT nel DNS (DNS-01), consentendo l’emissione e il rinnovo automatico.

Considerazioni finali

  • Tutti i siti dovrebbero usare HTTPS, anche quelli informativi.
  • I certificati DV sono sufficienti per la maggior parte dei casi comuni.
  • EV e OV sono consigliati in settori che richiedono alta fiducia.
  • Automatizzare rinnovi e verifiche è importante per evitare scadenze dimenticate.
  • Il certificato non aumenta la "forza" della cifratura, ma la fiducia.