Nome host errato nel certificato SSL: cosa significa?
Specificare un nome host errato nel certificato SSL è come avere il nome sbagliato sulla carta d’identità. Alla prima richiesta di controllo (in questo caso dal browser) non sarà possibile riconoscere se si tratta di una connessione sicura.
Poiché una parte dei dati non è corretta, l’intero certificato diventerà privo di valore: infatti, siccome la crittografia si basa sui dati contenuti nel certificato, questa non potrà più essere eseguita come desiderato.
Il visitatore del sito in questione riceverà quindi un avviso segnalante un errore nel certificato SSL e nel nome host (visto che la maggior parte dei browser indica anche tale informazione) e dovrà decidere se proseguire nel sito o meno.
Chiaramente molti utenti rifiuteranno quest’offerta: un errore del genere normalmente suscita diffidenza. A maggior ragione, un nome host sbagliato può anche indicare che terze parti non autorizzate abbiano cercato di manipolare la connessione sicura tra utente e sito: un simile errore è quindi in un certo senso ancora più grave del mancato utilizzo della crittografia SSL.
I motivi più comuni che portano a un errore di denominazione sono nomi di dominio sbagliati al momento della richiesta di un certificato SSL, ad esempio a causa di errori di battitura.
Un altro motivo potrebbe derivare dal fatto che il certificato SSL multidominio non sia stato compilato correttamente e che non tutti gli FQDNS desiderati siano stati inclusi nel modulo di richiesta del certificato. Un terzo motivo è rappresentato dai certificati autofirmati, che spesso vengono generati automaticamente, rischiando di contenere un nome di dominio scorretto.
La soluzione è semplice: i webmaster dovrebbero affidarsi ad autorità di certificazione affidabili per l’emissione dei certificati e controllare attentamente le loro richieste per verificare che non vi siano errori di battitura o di dominio.
Cosa succede quando il mio certificato SSL scade?
Quando il certificato di sicurezza di un sito scade, ogni visitatore riceverà un messaggio di avviso tramite il proprio browser non appena cercherà di aprirne una pagina. Un certificato SSL scaduto è un motivo molto comune per gli avvisi di sicurezza, poiché i certificati devono essere aggiornati ogni anno.
È un po’ come se il tuo sito stesse cercando d’identificarsi con una carta d’identità scaduta: non è affidabile. Dall’altro lato, un certificato scaduto non implica necessariamente un sito non sicuro, ma molti visitatori vengono scoraggiati da questo messaggio di avvertimento. Un fatto abbastanza fastidioso se si pensa che tenere aggiornati i certificati SSL non è poi così complesso.
Un certificato SSL scaduto è infatti rinnovabile in pochi minuti: ti basterà semplicemente rinnovarlo presso l’autorità di certificazione a cui avevi richiesto il tuo vecchio certificato oppure richiedere un nuovo certificato presso un nuovo ente di certificazione. In questo secondo caso dovrai però fare attenzione all’invio della domanda e accertarti nuovamente che non vi siano errori di battitura e altre sviste simili.
Una volta inviata la richiesta, però, la procedura è simile: riceverai un nuovo file del certificato e dovrai cancellare quello vecchio. A quel punto potrai caricare il nuovo certificato sul tuo server e verificare con un tool se tutto funziona correttamente.
Per evitare che i tuoi certificati scadano, ti consigliamo di segnarti un reminder nel tuo calendario o di utilizzare la funzione di promemoria del tuo ente di certificazione.
Come posso verificare se il mio certificato SSL sta per scadere?
Il modo più semplice per verificare se il tuo certificato SSL sta per scadere è visitare il tuo sito. La maggior parte dei browser hanno integrata la possibilità di consultare il certificato: le informazioni di cui hai bisogno si trovano a soli due clic da te.
Clicca sul simbolo del lucchetto vicino all’URL. A questo punto si aprirà un menu a tendina in cui sarà possibile ottenere ulteriori informazioni sul tuo certificato. La maggior parte dei browser nasconde le informazioni sulla validità sotto “certificato” o “mostra certificato”: cliccaci sopra per scoprirne il periodo di validità.
Se pensi che questa procedura sia troppo complessa, potrai affidarti a diversi tool che ti aiuteranno a trovare queste informazioni, per esempio il SSL check di Ionos. Dovrai semplicemente inserire il tuo URL e otterrai le informazioni riguardanti la validità. Inoltre esistono anche diverse suite, alcune delle quali a pagamento, che monitorano lo stato di sicurezza del tuo sito, informandoti di eventuali problemi.
Un terzo modo è l’interfaccia della tua autorità di certificazione: qui puoi solitamente visualizzare tutti i certificati che hai utilizzato e ordinarli per data di scadenza. Una simile panoramica vale oro se utilizzi diversi certificati e corri il rischio di perderne rapidamente traccia.
Il certificato SSL utilizza protocolli obsoleti
L’SSL utilizza protocolli obsoleti, tuttavia il numero di webmaster che utilizzano la crittografia SSL è molto inferiore a quello che ci si potrebbe aspettare. Questo perché l’SSL è considerato tecnicamente obsoleto dal 2015. L’attuale versione standard è il TLS 1.3, pubblicato nel 2018.
La tecnologia di Secure Socket Layer è stata quindi sostituita da Transport Layer Security. Nel linguaggio comune, tuttavia, TLS è spesso equiparato alla crittografia SSL. Anche i provider utilizzano ancora SSL come sinonimo di TLS per ragioni di marketing, quindi questa confusione persisterà ancora per qualche tempo.
Gli ulteriori sviluppi si sono resi necessari perché l’algoritmo di crittografia dell’SSL ha cominciato ad essere decifrato dagli hacker. Il TLS offre una protezione significativamente migliore e cripta i messaggi in modo pseudocasuale, proteggendoli meglio dagli attacchi. Nel complesso, l’attuale versione TLS 1.3 è chiaramente superiore all’ultima versione SSL 3.0, pubblicata vent’anni fa.
Il mio sito non usa la crittografia HTTPS: cosa posso fare?
La mancanza di crittografia HTTPS può riguardare non solo l’intero sito, ma anche i contenuti misti: può infatti succedere che una parte di tali contenuti venga mostrata non criptata, mentre il resto viene crittografato. Spesso il contenuto non criptato è costituito da vecchi link e directory il cui percorso inizia ancora con http:// invece che con https://.
Le immagini sono particolarmente problematiche. Ti consigliamo di usare siti come Why no padlock, che monitorano la tua presenza online concentrandosi in particolare su questi file e directory, facendone poi una lista. In alternativa puoi trovare i file corrispondenti nella console web di Firefox e Chrome.
Dopodiché dovrai semplicemente spostare i file interessati su https:// e modificare i link di conseguenza.
Se invece il tuo sito risulta completamente non criptato, ti consigliamo d’integrare la crittografia il prima possibile. I certificati SSL costano solo pochi euro all’anno e l’installazione è molto facile anche per i novizi: in molti casi è sufficiente richiedere un file e caricarlo sul server. Se per esempio lavori con WordPress, ci sono alcuni potenti componenti aggiuntivi che puoi utilizzare per implementare la crittografia. In alternativa, la crittografia può essere inclusa nelle suite di sicurezza o richiesta direttamente all’hoster.
Cosa succede ai moduli contenuti in pagine non criptate?
I dati inviati tramite moduli su pagine non criptate possono in linea di principio essere intercettati da terzi non autorizzati. Ciò significa che non è sicuro per i tuoi clienti (o anche per te stesso) inserire dati in questi moduli.
Con la crittografia i dati vengono trasmessi in modo irriconoscibile in quanto server e dominio comunicano in una sorta di codice segreto che può essere decifrato solo dal destinatario. Se un hacker riesce ad accedere ai dati trasmessi, riceverà solo una stringa di caratteri crittografati inutilizzabile. I destinatari autorizzati, invece, dispongono della chiave del codice e possono quindi decifrare i dati inviati. La crittografia quindi non protegge dall’intercettazione in sé, ma dall’uso dei dati intercettati.
Ogni volta che un sito raccoglie dati personali, deve anche proteggerli durante la trasmissione: essendo un requisito legale dal 2018, i moduli su pagine non criptate possono farti rischiare una multa. I browser proteggono la sicurezza dei propri utenti, segnalando quando un sito risulta insicuro in modo che l’utente si astenga dal trasmettere dati sensibili.