Come ottenere un certificato digitale gratuito per aggiornare il nostro sito web dal protocollo http al protocollo https.
Introduzione al certificato digitale
L’installazione di un certificato digitale SSL è diventato oramai un obbligo per confermare la validità di un dominio e il suo proprietario.
Perché un obbligo?
Ma per il semplice motivo che tutti i browser segnalano come sito sicuro i domini con utilizzano un certificato digitale valido.
Intendiamoci, non è detto che un sito privo di certificato sia insicuro, ma sicuramente è una di quelle best practices da applicare al tuo prossimo dominio.
Alcuni fornitori di servizi web includono, nel pacchetto di hosting, certificati SSL già preconfigurati e applicabili al dominio acquistato.
Cos’è un certificato SSL?
SSL (acronimo di Secure Sockets Layer) è un protocollo progettato per consentire alle applicazioni di trasmettere informazioni in modo sicuro e protetto.
Le applicazioni che utilizzano i certificati SSL sono in grado di gestire l’invio e la ricezione di chiavi di protezione e di criptare/decriptare le informazioni trasmesse.
In parole semplici, i dati inviati tra server e utente e viceversa sono criptati.
Come funziona l’SSL?
Tutte le applicazioni sono in grado di ricevere connessioni tramite l’utilizzo di SSL,
Sicuramente i browser come Edge, Firefox e Chrome sono stati i primi a segnalare all’utente che un determinato URL è privo di certificato digitali.
Anche programmi di gestione della posta come Outlook, Mozilla Thunderbird, Apple Mail app, e programmi SFTP (Secure File Transfer Protocol) possono utilizzare questo protocollo.
Per stabilire una connessione sicura tramite SSL, è necessario che la tua applicazione abbia una chiave di protezione assegnata da una Authority preposta che la rilascia sotto forma di certificato. I certificati devono essere periodicamente rinnovati.
Come già accennato, un sito privo di certificato digitale non è un sito insicuro con la semplice navigazione ma un certificato è indispensabile nella cifratura dei dati tra utente siti come e-commerce che richiedono pagamenti elettronici oppure nelle transazioni bancarie.
Tipologie di validazione di un certificato
Abbiamo vari livelli di validazione. Eccone alcuni:
• Validazione attraverso l’autenticazione del dominio
Questo processo di autenticazione verifica che il richiedente abbia i permessi di amministratore per il dominio per cui si richiede il certificato.
• Validazione attraverso l’autenticazione dell’azienda
la validazione include la verifica dell’azienda, la verifica del dominio e che il contatto che richiede il certificato per conto dell’azienda o dell’organizzazione sia effettivamente un dipendente dell’azienda stessa.
• Autenticazione tramite Extended Validation (EV).
È il livello più alto livello di autenticazione disponibile per un certificato SSL. Per ottenerlo è necessario un accordo firmato tra il contatto e l’azienda per cui verrà emesso il certificato.
Con questo tipo di certificato i visitatori che utilizzano un browser che gestisce l’high-security potranno vedere la barra degli indirizzi di colore verde, un segno visibile che il sito è autenticato con procedure di validazione avanzate. Prima che l’utente inserisca dati di carte di credito e informazioni personali sensibili vogliono essere sicuri di essere nel sito corretto e che le loro informazioni siano protette. Inoltre nella barra degli indirizzi viene visualizzato il nome dell’azienda certificata e dell’ente che ha rilasciato il certificato. Queste informazioni sono visibili immediatamente e trasmettono all’utente la fiducia necessaria per completare le loro transazioni.
Tipi di certificato digitale
Abbiamo 4 tipi di certificato digitale:
- Domain Validated certificazione del solo dominio;
- Wildcard Domain Validated certificazione del dominio e di tutti i sottodomini;
- Organization Validated certificazione dell’azienda oltre che il dominio. Per avere questo tipo di certificazione, occorre inviare la documentazione relativa all’azienda. L’utente può visualizzare il nome dell’azienda quando clicca sul lucchetto nella barra indirizzi del browser per visualizzare i dettagli del certificato;
- Extended Validation é la validazione più avanzata che- permette di avere il nome dell’azienda in verde nella barra dell’indirizzo del browser.
Vai al sito ■ Let’s Encrypt (letsencrypt.org)
Installare un certificato con Certbot
Certbot è uno strumento software gratuito e open source per l’utilizzo automatico dei certificati Let’s Encrypt su siti Web, gestiti manualmente, per abilitare HTTPS.
Certbot è prodotto dalla Electronic Frontier Foundation (EFF), un’organizzazione no-profit Californiana, che difende la privacy digitale, la libertà di parola e l’innovazione.
Se il tuo provider ti mette a disposizione strumenti per installare il tuo certificato digitale potresti non avere bisogno di CerBot.
Puoi usare Certbot se:
• vuoi utilizzare righe di comando su server tipo Unix;
• se hai già online un sito http
• se vuoi amministrare il tuo sito web tramite server dedicato e comandi Sudo. Sudo è il comando più comune sui sistemi operativi simili a Unix per eseguire una azione specifica come root (amministratore di sistema).
Vai al sito ■ Cerbot
Creare file di configurazione con Mozilla SSL Configuration Generator
Mozilla SSL Configuration Generator è uno strumento open source che crea file di configurazione per aiutarti a seguire le linee guida TLS Mozilla Server Side.
Questo tool ti aiuta a creare un file di configurazione sicuro e facile da usare per software web, database e di posta. Seleziona semplicemente il software che stai utilizzando e ricevi un file di configurazione compatibile.
Vai al sito ■ SSL-config.mozilla.org
Come verificare on line il certificato SSL
SSlabsSSL è un servizio web che esegue un’analisi approfondita della configurazione di qualsiasi server Web SSL pubblico su Internet. Il sito dichiara che le informazioni inviate con il modulo (form) sono utilizzate solo per fornirti il servizio. Puoi decidere di non far apparire in bacheca la tua interrogazione.
Vai al sito ■ SSlabs SSL test
Installare certificato con Plugin WordPress
FreeSSL.tech Auto è un plugin che emette, rinnova e installa automaticamente il certificato Let’s Encrypt™ Free SSL Certificate su un sito WordPress. Questo plugin è utile anche per tutti quei siti ospitati su hosting condiviso e che utilizzano un server con pannello di amministrazione cPanel. Non è necessario avere esperienza di programmazione o di amministrazione di server per configurarlo. L’accesso root non è richiesto.
Questo plugin funziona anche su altri tipi di pannello di amministrazione diverso da cPanel, ad eccezione della funzione di installazione automatica.
Vai al sito ■ FreeSSL.Tech: Automatically installs Free SSL Certificate in cPanel shared
Conclusione
Controlla che il tuo prossimo dominio sia provvisto del certificato digitale. In questo modo potrai dare più sicurezza a chi visiterà le tue pagine web.
Per approfondire
■ Verificare se la connessione di un sito è sicura – Guida di Google Chrome
■ HTTPS, come ottenere un certificato digitale gratuito – IlSoftware.it
■ Utilizzare host che integrano SSL e configurano HTTPS
■ 4 Modi per Installare un Certificato SSL – wikiHow
■ How to Get a Free SSL Certificate for Your Website (Beginner’s Guide) (wpbeginner.com)
■ How To Set up OpenSSL on Windows 10 (PowerShell) (adamtheautomator.com)