Cosa significa il messaggio "La connessione non è privata"?

Se il certificato SSL di un sito non è valido o non disponibile, gli utenti possono visualizzare un messaggio di errore quando tentano di caricarlo.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Capire il significato dei messaggi di errore "La tua connessione non è privata/sicura" in un browser
  • Capire come i problemi con un certificato SSL possono causare questi errori
  • Apprendere come correggere questi errori

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Aumenta la sicurezza e l'affidabilità utilizzando i protocolli SSL/TLS gratuiti di Cloudflare

Cosa significa l'errore "La tua connessione non è privata"?

In ragione del messaggio "La connessione non è privata", un utente potrebbe vedersi interdetto l'accesso a un determinato sito. Questo errore indica che la connessione tra il client (il dispositivo dell'utente, come un laptop o un tablet) e il server (l'host del sito web) non è crittografata, anche se il dispositivo client si attendeva che lo fosse.

Connessione non privata

Di conseguenza, eventuali aggressori saranno in grado di vedere cosa fa l'utente sul sito web: i messaggi tra il client e il server vengono inviati in chiaro, invece di essere cifrati tramite crittografia. Inoltre, il client non può verificare di essere connesso al server corretto.

Questo è il motivo per cui il browser mostrerà il messaggio "La connessione non è privata" o "La connessione non è sicura": non è in grado di verificare il server web e non può crittografare i messaggi per impedire ai malintenzionati di leggerli.

Questo errore è causato da un problema con il certificato SSL del sito: è mancante, scaduto, non emesso da un'autorità di certificazione legittima, oppure il client non può accedervi per qualche altro motivo. I certificati SSL sono necessari per poter utilizzare i siti web tramite connessioni HTTPS sicure.

Un certificato SSL non valido o mancante è quasi l'equivalente crittografico del cassiere di un'enoteca che chiede a un cliente un documento per dimostrare che ha l'età per acquistare alcolici e, invece di mostrare un documento d'identità ufficiale, tira fuori un pezzo di carta su cui qualcuno ha scritto a penna "quest'uomo si chiama Francesco e ha 18 anni". Ovviamente, questo non è un metodo accettabile. La persona non solo potrebbe non avere 18 anni, ma potrebbe anche non chiamarsi Francesco. Il cassiere ha pertanto tutto il diritto di insospettirsi e di rifiutarsi di vendergli alcoolici.

Proprio come il nostro Francesco, un sito web privo di un certificato SSL non può dimostrare la propria identità. Inoltre, un sito sprovvisto di certificato SSL non può crittografare le comunicazioni. Immaginiamo cosa potrebbe accadere se la mancanza della carta d'identità di Francesco consentisse a ogni singola persona su questa Terra di poter ascoltare la conversazione di Francesco con il cassiere!

  • Su Google Chrome, il messaggio di errore è: «La connessione non è privata», seguito da «Utenti malintenzionati potrebbero tentare di rubare le tue informazioni da [sito web]».
  • Su Mozilla Firefox, il messaggio è "La tua connessione non è sicura"
  • Anche su Microsoft Edge il messaggio è "La tua connessione non è sicura"

Spesso, gli utenti possono comunque continuare alla pagina nonostante questo messaggio, sebbene farlo sia sconsigliato. Senza HTTPS, è possibile sferrare una serie di attacchi informatici.

Cos'è un certificato SSL? Cos'è HTTP?

Un certificato SSL verifica la titolarità di un sito web e rende possibile l'apertura di una connessione sicura e crittografata. Si tratta di un file di testo installato su un server web e che contiene le informazioni seguenti:

  • Data di scadenza del certificato
  • Il nome di dominio per cui è stato emesso il certificato
  • Quale persona, organizzazione o dispositivo è proprietaria del dominio
  • L'autorità di certificazione che ha rilasciato il certificato
  • La chiave pubblica

Un certificato SSL è indispensabile per crittografare le comunicazioni da e verso un sito web tramite crittografia SSL o TLS. Questo è anche noto come HTTPS.

Se i dati sono crittografati con TLS/SSL, quando qualcuno intercetta i dati scambiati tra client e server, essi appaiono come una sequenza di caratteri incomprensibile. Se i dati non sono crittografati, è possibile intercettarli e leggerli con facilità. La crittografia è come una busta che protegge il contenuto di una lettera personale durante il trasporto postale.

Che cosa provoca questo errore SSL?

L'errore "La connessione non è privata" può essere provocato da diversi problemi nel certificato SSL:

Il certificato SSL del sito web non è valido o è mancante. Questa fattispecie può accadere per una serie di motivi. Può significare che il certificato SSL presentato riporta il sito web sbagliato, che il certificato SSL è scaduto, oppure che non è presente alcun certificato SSL; ad esempio, se un utente digita https://www.example.com in un browser, ma example.com non supporta HTTPS.

Il certificato SSL non elenca le varianti del nome di dominio. Ad esempio, il certificato SSL può includere www.example.com, ma non example.com (senza la parte "www"). Ciò accade quando la sezione "Nome alternativo del soggetto" (Subject Alternative Name, SAN) di un certificato SSL non viene compilata correttamente. Di conseguenza, il sito web dispone di un certificato SSL funzionante, ma c'è una mancata corrispondenza tra l'URL inserito dall'utente e quello indicato nel certificato. Pertanto, il browser considera il certificato non valido.

Il server web ha presentato un certificato SSL per il sito web sbagliato. Ciò può accadere quando più siti web sono ospitati su un unico indirizzo IP. Se ciascuno di questi siti dispone del proprio certificato SSL, il server potrebbe non sapere quale certificato SSL mostrare quando un dispositivo client tenta di connettersi in modo sicuro a uno di essi, proprio come quando un pacco viene spedito a un complesso di appartamenti, ma il numero dell'appartamento non viene incluso nell'indirizzo. Un'estensione del protocollo TLS, denominata SNI, aiuta a prevenire questo errore.

Altre possibili cause sono:

  • Il certificato è autofirmato, ovvero è stato generato dal gestore del sito web anziché da un ente di certificazione terzo.
  • Il browser non riconosce l'autorità di certificazione che ha rilasciato il certificato
  • Il certificato SSL è stato emesso da Symantec (i certificati SSL emessi da Symantec non sono considerati attendibili dai principali browser).
  • Il certificato SSL potrebbe comprendere funzionalità non supportate, ad esempio l'utilizzo dell'hashing SHA-1 anziché SHA-256.
  • L'orologio del dispositivo client non è preciso, di conseguenza non è in grado di verificare se il certificato SSL sia scaduto o meno

Come correggere gli errori "La connessione non è privata"

Per gli utenti

  1. Aggiornare la pagina: le connessioni di rete comportano molte comunicazioni di andata e ritorno tra client e server, che l'utente non è solitamente in grado di vedere. Una quantità X di queste comunicazioni potrebbe però non andare a buon fine. Per questo motivo, svariati errori possono essere risolti riprovando a ricaricare la pagina.
  2. Svuotare la cache del browser: un browser memorizza alcune informazioni e contenuti dei siti visitati in precedenza dagli utenti in una posizione di archiviazione temporanea nota come "cache". Svuotare la cache del browser e provare a ricaricare la pagina sortisce un effetto simile al refresh della pagina: il sito web si presenta come nuovo dal punto di vista del browser, che può quindi provare a ristabilire le connessioni. In alternativa, gli utenti possono anche aprire la pagina in modalità Incognito (Chrome), Privata (Firefox e Safari) o InPrivate (Edge); in queste modalità il browser non ha accesso alla cache.
  3. Reimpostare l'orologio: gli utenti possono anche provare a reimpostare l'orologio del proprio computer, che potrebbe essere impreciso e considerare erroneamente scaduto o non valido un certificato SSL.
  4. Aggiungiere 'www': per aggirare gli errori SAN, gli utenti possono provare a ridigitare il nome di dominio in modo che includa "www" (o qualunque sia il prefisso del dominio).
  5. Utilizzare un browser diverso, oppure aggiornarlo: le versioni precedenti dei browser potrebbero non supportare le funzionalità necessarie per la crittografia TLS (come SNI). Pertanto, è bene assicurarsi di utilizzare le versioni dei browser più recenti.

Per i titolari di siti web

  1. Acquisire un nuovo certificato SSL: se il certificato è scaduto, obsoleto o autofirmato, è necessario che il sito ne ottenga uno nuovo da un'ente di certificazione. (Cloudflare offre certificati SSL gratuiti, oltre a certificati personalizzati per i clienti aziendali).
  2. Assicurarsi che il campo SAN sia compilato e che i sottodomini siano inclusi: se il certificato SSL è invece valido, è necessario assicurarsi che contenga tutte le variazioni legittime del dominio. Inoltre, è necessario elencare anche i sottodomini, ad esempio blog.example.com oltre a www.example.com.
  3. Se un sito web non dispone di HTTPS, bisogna assicurarsi che tutti i backlink siano esclusivamente HTTP: se un utente tenta inavvertitamente di caricare un URL tramite HTTPS quando il sito utilizza solo HTTP, potrebbe comparire questo errore, perché il browser ha tentato di ottenere un certificato SSL che non è presente. Oltre a correggere i backlink, un sito deve configurare i reindirizzamenti a HTTP nel caso in cui qualcuno tenti di caricarlo tramite HTTPS. Inoltre, si raccomanda vivamente che tali siti web ottengano dei certificati SSL.

Cosa significa "La connessione a questo sito non è sicura"?

Su Chrome, questo messaggio compare quando si fa clic su "Non sicuro" nella barra del browser quando ci si trova su un sito HTTP. Il messaggio riporta che il sito web non dispone di un certificato SSL e non utilizza il protocollo SSL/TLS per crittografare il traffico da e verso il sito. I browser in genere non bloccano i siti web che non utilizzano HTTPS, ma su questi siti è consigliabile evitare di inserire dati personali, come credenziali di accesso, dati di carte di credito o numeri di identificazione rilasciati da enti governativi.

In che modo Cloudflare aiuta a prevenire questi tipi di errori?

Cloudflare offre crittografia SSL/TLS gratuita per ogni sito web. I siti con crittografia TLS di Cloudflare non dovrebbero incorrere nella maggior parte di questi errori, anche se dispositivi client configurati in modo errato potrebbero comunque, occasionalmente, causarne la comparsa. Scopri di più sui certificati SSL gratuiti di Cloudflare.

Cloudflare offre crittografia SSL/TLS gratuita per ogni sito Web. I siti con crittografia TLS di Cloudflare non dovrebbero incorrere nella maggior parte di questi errori, anche se dispositivi client configurati in modo errato potrebbero comunque, occasionalmente, causarne la comparsa. Scopri di più sui certificati SSL gratuiti di Cloudflare.