Ogni browser moderno mostra, nella barra d’indirizzo, se un sito sta utilizzando una connessione HTTPS criptata, indicandone la validità del certificato SSL.
- Osservare la barra d'indirizzo del browser
- Esempi di certificati SSL non validi su Chrome
- Attenzione: perché un certificato SSL valido è importante
- I trabocchetti dei certificati SSL: possibili cause per cui non possono essere validati
- Video esplicativo (inglese): cos’è l'SSL?
- Informazioni aggiuntive sull’argomento
Osservare la barra d’indirizzo del browser
Il seguente screenshot mostra Internet Explorer durante l’accesso a due siti di banche diverse:
- Richiedendo il primo indirizzo, santander.co.uk, l’utente arriva all’URL http://www.santander.co.uk/uk/index – una connessione non criptata.
- Richiedendo il secondo indirizzo, db.com, l’utente arriva all’URL https://www.db.com/index_e.htm – una connessione criptata.
Esempi di certificati SSL non validi su Chrome
Per entrambi i domini dello screenshot seguente, il certificato SSL non è valido e il browser Chrome indica quanto segue:
Perché entrambi i certificati SSL non sono validi e utilizzano una connessione non criptata?
- A sinistra (in rosso): un certificato SSL auto-firmato del quale non è possibile stabilire l’identità
- A destra (in giallo): un certificato SSL con problemi di CA (Certification Authority), del quale è stata certificata l’identità. Non tutte le risorse sono però caricate tramite una connessione criptata, per cui il sito potrebbe essere potenzialmente rischioso per la sicurezza, in quanto il browser non può confermare la validità del certificato
Attenzione: perché un certificato SSL valido è importante
Tramite un certificato SSL è possibile stabilire delle connessioni HTTPS criptate. Questo è sicuro solo nel caso in cui il certificato SSL in uso renda valido il 100% del sito. Senza crittografia, tutti i dati inviati e ricevuti dal tuo sito potrebbero essere visibili su Internet e quindi potenzialmente manipolabili da terze parti.
Un altro punto, leggermente meno importante del precedente, è che l’HTTPS è un fattore di Ranking (minore) per Google: in caso di certificato non valido, il tuo sito non otterrà alcun vantaggio.
Con il Certificate Check di SSL-Trust.com potrai ricevere delle informazioni aggiuntive sul certificato SSL di un sito.
Esempio di certificato affidabile:
Esempio di certificato non affidabile:
I trabocchetti dei certificati SSL: possibili cause per cui non possono essere validati
Le seguenti circostanze potrebbero impedire al browser di verificare l’attendibilità di un certificato SSL, e quindi renderlo ai suoi occhi non affidabile:
- Il certificato è auto-firmato (self-signed)
- Il certificato presenta un root sconosciuto, cioè ha problemi di Certification Authority (CA)
- Il certificato è scaduto
- Il dominio al quale si ha avuto accesso non corrisponde al range di dominio registrato nel certificato
- Il sito web contiene delle risorse non criptate, ad esempio caricate da siti di terze parti e prive di supporto HTTPS
- Il supporto dell’indicazione nome server (SNI) non è presente nel certificato
- Il protocollo non è aggiornato, in quanto è stata usata una vecchia versione di OpenSSL. Usa sempre la TLS Library più recente!
- SSL v2 non è sicuro e non dovrebbe essere usato
- SSL v3, TLS v1.0 e TLS v1.1 sono da tempo non più sicuri
- TLS v1.2 è attualmente ancora lo standard
- TLS v1.3 è al momento la versione più moderna e sicura. Essa non è però più compatibile con le configurazioni precedenti, per cui può essere difficile da implementare
- La lunghezza della chiave è inferiore ai 2048 bit
Video esplicativo (inglese): cos’è l’SSL?
Questo video spiega le basi di SSL e l’esatto funzionamento della crittografia.
Informazioni aggiuntive sull’argomento
- SSL Server Test dell’azienda Qualys: SSL-Lab
- SSL/TLS Deployment Best Practices: PDF
