Se il certificato SSL di un sito è scaduto o non è corretto, un utente potrebbe pensarci due volte prima di caricare un sito.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Il Secure Sockets Layer (SSL) è un protocollo per crittografare e autenticare i dati che viaggiano tra client e server attraverso Internet. La versione aggiornata del protocollo si chiama Transport Layer Security (TLS).
SSL/TLS si basa sull'uso di un certificato SSL, ovvero un file di dati ospitato su un server che ne verifica l'identità e aiuta a crittografare il traffico. Il server e il client (il dispositivo utilizzato da una persona che cerca di raggiungere il sito web ospitato sul server) utilizzano il certificato SSL per stabilire chiavi crittografiche simmetriche e avviare una trasmissione sicura e crittografata, il tutto in pochi millisecondi. La crittografia dei dati che transitano tra utenti e server aiuta a prevenire compromissioni, consentendo ai siti di preservare la fiducia degli utenti e soddisfare i requisiti di conformità.
I problemi relativi ai certificati SSL/TLS possono impedire agli utenti di caricare e accedere in modo sicuro siti web e applicazioni. Di seguito sono riportati alcuni degli errori più diffusi relativi ai certificati SSL (o errori TLS) in cui utenti e amministratori di siti potrebbero incorrere.
La maggior parte dei certificati SSL sono emessi e firmati da un'organizzazione esterna, denominata "autorità di certificazione". I certificati autofirmati spesso non sono considerati attendibili dai browser, poiché nessuna autorità esterna ha provveduto a certificarli. Un'autorità di certificazione potrebbe non essere riconosciuta dal browser anche per altri motivi: ad esempio, i certificati SSL emessi da Symantec non sono più considerati attendibili dai principali browser. Questo errore del certificato SSL può causare la visualizzazione del messaggio "La tua connessione non è privata" nel browser, impedendo agli utenti di visitare un sito web.
Ottenere un certificato SSL da un'autorità che gode di un riconoscimento più ampio può correggere questo errore. Cloudflare, ad esempio, offre certificati SSL gratuiti considerati attendibili da tutti i browser.
Nel corso degli anni, la comunità di Internet ha aggiornato più volte il protocollo SSL/TLS per correggere le vulnerabilità e velocizzare il processo di autenticazione. Il cambio di denominazione da SSL a TLS costituisce prova di questa attività.
Molti servizi web hanno iniziato a imporre l'adozione dei protocolli più recenti. La versione più recente e ampiamente utilizzata di TLS è la TLS 1.3, e la versione TLS 1.2 rimane tuttora in uso.
Per i web host e i siti configurati per accettare solo i protocolli più sicuri, i client devono supportare almeno TLS 1.2; altrimenti, l'handshake TLS non può avvenire come previsto. In questi casi, potrebbe verificarsi il seguente errore: "Si è verificato un errore irreversibile durante la creazione di una credenziale client TLS". Per evitare di incorrere in questo errore, un utente deve assicurarsi che il browser e il sistema operativo del proprio dispositivo supportino le versioni più recenti e sicure di TLS.
Proprio come alcuni documenti d'identità rilasciati dalla pubblica amministrazione, ad esempio i passaporti, scadono dopo un certo numero di anni, anche i certificati SSL devono essere rinnovati periodicamente. Questo aiuta a garantire che la stessa entità continui a gestire il servizio web in questione, proprio come l'aggiornamento della foto del passaporto aiuta a confermare la propria identità. Un certificato SSL scaduto non sarà considerato attendibile dal browser di un client, pertanto l'handshake TLS non può avere corso e non sarà possibile stabilire una connessione sicura.
Per risolvere questo problema del SSL, gli amministratori devono accertarsi che, per i domini e i sottodomini che gestiscono, i certificati SSL siano regolarmente aggiornati.
Questo errore può verificarsi anche se l'orologio del client non è corretto. In tal caso, il browser del client potrebbe non essere in grado di stabilire se il certificato SSL sia scaduto o meno. Per correggere l'errore, è sufficiente reimpostare l'orologio sul dispositivo del client.
Questo errore si verifica quando il nome sul certificato SSL non corrisponde all'URL inserito dal client. Ciò può avvenire se l'utente ha inserito un dominio di primo livello diverso da quello previsto, ha digitato "www" quando tale nome non è presente nel certificato, oppure ha digitato il dominio in modo errato. Una mancata corrispondenza del nome può verificarsi anche se l'operatore del sito ha etichettato erroneamente il proprio certificato, o non vi ha incluso tutti i nomi pubblici del proprio dominio. Infine, l'errore può verificarsi quando il client o il server non supportano l'estensione SNI (chiariremo questo punto di seguito).
Per non incappare in questo errore, gli amministratori dei siti devono assicurarsi di aver digitato correttamente il proprio dominio nei propri certificati SSL. Inoltre, la sezione "Nome alternativo del soggetto" (Subject Alternative Name, SAN) del certificato SSL deve elencare tutte le presentazioni alternative legittime del nome di dominio.
Il Server Name Indication (SNI) è un'estensione del protocollo TLS da utilizzare quando più domini sono ospitati su un unico server. Quando un client avvia una connessione, si connette direttamente a un server (indicato da un indirizzo IP). Quel server potrebbe ospitare più siti web, proprio come un condominio in cui vivono molti inquilini.
SNI è un'estensione che, per continuare l'analogia, aggiunge un numero di appartamento all'indirizzo, in modo che il server sappia a quale sito web (o "appartamento") indirizzare la richiesta di connessione SSL. Tuttavia, se la richiesta al server non utilizza SNI, il server potrebbe mostrare un certificato SSL errato ai client che avviano una connessione, causando un errore di mancata corrispondenza del nome comune.
Per evitare questo errore, l'amministratore di un sito dovrebbe utilizzare degli host che supportano i protocolli TLS più recenti, incluso SNI (e SNI crittografato).
Cloudflare aiuta i gestori di siti web a evitare questi errori gestendo e rinnovando automaticamente i certificati per tutti i loro siti. Quando un'azienda dispone di decine, centinaia o addirittura milioni di sottodomini da gestire, assicurarsi che i relativi certificati non siano scaduti può diventare un lavoro a tempo pieno. Cloudflare, invece, rende l'intero processo completamente automatico.
Scopri i certificati SSL di Cloudflare nella pagina dei piani. Per ulteriore supporto, unisciti alla Cloudflare Community per assistenza gratuita e approfondimenti da altri utenti Cloudflare.