Il certificato di sicurezza SSL per Sito Web: cos’è, è gratis (Let’s Encrypt) o ha un prezzo?

Il certificato di sicurezza SSL per Sito Web: cos'è, è gratis (Let's Encrypt) o ha un prezzo?

Mi capita abbastanza spesso di incappare in preventivi di Siti Web per diverse Partite IVA al cui interno vengono riportati i costi annuali che l’azienda dovrebbe sostenere per il mantenimento del sito stesso; in mezzo a questi costi mi colpisce sempre la fantasia di molte agenzie web (ma anche di liberi professionisti) nel trovare sempre nuove voci per giustificare un prezzo quasi sempre troppo alto. Una voce ricorrente è quella legata al Certificato di Sicurezza SSL per il Sito Web: a volte è giusto pagarlo, ma a volte, essendo gratis (come quando è certificato dall’autority Let’s Encrypt) il prezzo che gli viene dato non ha nessuna giustificazione alcuna.

Video 1: Certificato di Sicurezza SSL del Sito Web: cos’è, è gratis (Let’s Encrypt) o ha un costo.

Tranquillo, posso averti fatto un po’ di confusione da questa premessa, ma nell’arco di questo articolo andrò a risolvere ogni tuo dubbio in merito al certificato SSL. Solo alla fine parlerò dei prezzi e di come a volte questo possa essere anche gratis.

Ma partiamo dal principio. Prima di tutto vedremo cos’è (e per farlo dovrò farti una brevissima premessa su come funziona il Web), poi analizzeremo come funziona e, infine, ti parlerò dei 3 livelli di certificazione possibile e se esiste una versione gratis (o se c’è sempre un prezzo da versare).

  1. Come funziona la comunicazione su Internet.
    1. Accedere ai Siti Web.
    2. Protocollo HTTP: richiedere e usufruire di un Sito Web.
  2. Comunicare in modo sicuro sul Web.
    1. Il Protocollo HTTP diventa HTTPS.
    2. La sicurezza tramite il Protocollo SSL.
    3. Cos’è il certificato di sicurezza SSL per un Sito Web.
    4. Come funziona il certificato SSL.
  3. Ottenere un certificato di sicurezza SSL per un Sito Web.
    1. Sicurezza: Sito Web affidabile e autorevole.
    2. I diversi livelli di convalida (dati dall’autorevolezza) e la percezione.
    3. Verificare il certificato di un Sito Web.
    4. Livelli gratis (Let’s Encrypt) e a pagamento.

Come funziona la comunicazione su Internet.

Il certificato di sicurezza SSL va a certificare prima di tutto la sicurezza nello scambio di informazioni sul Web. Per capire quindi cosa sia e come funzioni questo certificato è fondamentale che prima ti sia chiaro come avviene questo scambio di informazioni e quali sono i principali attori protagonisti di questo scambio di dati.

In poche parole: capire a grandi linee come funziona Internet.

Prima di iniziare voglio fare una premessa: quello che sto per dirti potrebbe far storcere il naso a qualche ingegnere informatico o sistemista o amministratore di reti; infatti non sarò tecnico ma adatterò le informazioni che ti servono nel modo più semplice possibile per te; a volte potrei dire (volutamente) delle inesattezze, ma con il semplice scopo di renderti la spiegazione agevole.

Bene, ora possiamo iniziare: parliamo dello scambio di informazioni quando navighiamo online.

Accedere ai Siti Web.

Quando apri un browser (Chrome, Edge, Firefox, Safari ecc.) e accedi ad un Sito Web stai creando una comunicazione tra il tuo computer ed un altro computer sparso da qualche parte nel mondo.

Il tuo computer, tramite il browser, richiede di poter accedere ad un Sito Web. Il Sito Web lo possiamo vedere come un documento a più pagine che contengono a loro volta testi, immagini, video e link. Un documento del genere può essere salvato esclusivamente su di un altro computer, ed ecco il motivo per cui, quando navighi online, ogni volta crei un canale di comunicazione con un altro pc.

La cosa funziona più o meno così: da browser chiedi ad un computer esterno alla tua rete di poter accedere al sito X, il computer esterno riceve la tua richiesta e, se possiede il sito web e tutto va a buon fine, ti risponde in modo affermativo allegando alla risposta il Sito X che gli hai richiesto. Ogni volta che fai un’azione su quel Sito Web stai inoltrando altre richieste al computer che lo contiene.

Come avviene lo scambio dati sul Web tra Client e Server tramite protocollo HTTP(s).
Figura 1: come avviene lo scambio dati sul Web tra Client e Server tramite protocollo HTTP(s).

Chiamiamo Client (il cliente che richiede il servizio, in questo caso la pagina web) il tuo computer, mentre Server (colui che rilascia il servizio) il computer al di fuori della tua rete.

Protocollo HTTP: richiedere e usufruire di un Sito Web.

Questo scambio di dati avviene tramite un tunnel bidirezionale tra Client e Server. Per gestire questo trasferimento di dati sono necessarie delle regole: queste sono state codificate all’interno di un protocollo chiamato HTTP. L’HTTP si occupa quindi di trasferire da un computer all’altro delle informazioni (le pagine Web).

Il suo acronimo sta per Hyper Text Transfer Protocol, ovvero protocollo di trasferimento di ipertesti; gli ipertesti per noi comuni mortali sono semplicemente pagine Web.

Comunicare in modo sicuro sul Web.

Agli albori di Internet il protocollo HTTP andava per la maggiore ma, con il passare del tempo, sempre più problematiche si sono legate alla natura stessa del protocollo: fino a quel momento era stato pensato esclusivamente per passare dei dati da un computer ad un altro, ma senza pensare troppo alla sicurezza di quest’ultimi.

Immagina per un momento due persone che stanno conversando tra di loro. Basta che ti avvicini il tanto che basta per origliare la loro conversazione e scoprire di cosa parlano. Finché parlano di gossip, politica o di altre cose di dominio pubblico non c’è un grosso problema di privacy. Certo, non è piacevole avere qualcuno che sta spiando, ma le informazioni passate non sono granché rilevanti per la tua sicurezza.

Internet all’inizio era questo: tante pagine web statiche senza un grosso scambio di dati sensibili.

Lazy Mix

Oggi però i tempi sono diversi: quando ci colleghiamo ad un social e facciamo la login stiamo mandando ad un altro computer tramite HTTP il nostro nome utente e password. Quando acquistiamo online comunichiamo i nostri dati di pagamento come le carte di debito/credito.

L’HTTP non va più bene perché passa tutte le informazioni in chiaro.

Ora, ritorniamo per un secondo alle due persone che stanno conversando: diciamo che si stanno passando delle informazioni riservate; per essere sicuri che nessuno li stia spiando, potrebbero mettersi d’accordo su un linguaggio che capiscono solo loro due e parlare esclusivamente con questo. A quel punto io, ficcanaso come sono, non potrei comunque sapere di cosa stanno parlando.

Il Protocollo HTTP diventa HTTPS.

Secondo questo principio si è stabilito uno standard a livello mondiale per quanto riguarda la cifratura da adottare all’interno delle comunicazioni tra Client e Server, in modo che tutto quello che passa dal mio PC a quello che contiene il Sito Web sia leggibile solamente per questi due nodi della rete.

All’HTTP viene aggiunta una S finale, che sta per Secure, ovvero sicuro (protocollo di trasferimento di siti web in modalità sicura)… ma fattivamente come avviene questa criptazione dei dati?

La sicurezza tramite il Protocollo SSL.

È in questo momento che dobbiamo scomodare un altro protocollo, ovvero un altro sistema di regole che stabilisce la criptazione all’interno di un canale di comunicazione: il protocollo SSL.

Qui te la faccio facile facile: tramite SSL (che sta per Secure Socket Layer, che noi possiamo tradurre in modo errato ma funzionale in Sicurezza del Livello di Comunicazione) possiamo criptare quei dati che prima passavano via HTTP completamente in chiaro.

Praticamente l’HTTP trasferisce i dati avvalendosi anche del protocollo SSL, che si occupa di prendere quei dati e criptarli in una lingua che solo i due computer (Client e Server) possono capire. Tecnicamente si dice HTTP over SSL, e la sua abbreviazione l’abbiamo già conosciuta poco fa, ovvero HTTPS.

Ancora una cosa prima di proseguire nella spiegazione: l’algoritmo di criptazione utilizzato è uno standard mondiale ed è l’RSA a 2048 bit. A noi non interessa andare oltre perché diventerebbe un articolo fin troppo tecnico. Ti basti solo sapere che è il livello di criptazione più alto che al momento esiste al mondo.

Cos’è il certificato di sicurezza SSL per un Sito Web.

Bene, ora possiamo introdurre finalmente il concetto di Certificato di Sicurezza SSL per un Sito Web. Sì, ammetto di aver fatto una premesse più lunga di quello che avrei voluto, ma era indispensabile per permetterti di capire al meglio cosa sia questo certificato e come funziona.

Per spiegarti cos’è voglio farti tornare con l’immaginazione alle due persone che stanno conversando. Abbiamo detto prima che per parlare tra di loro in sicurezza devono stabilire una lingua (criptazione) che possano capire solo loro due. Ma esistono diverse lingue al mondo (così come esistono diversi tipi di criptazione), quindi uno dei due deve imporre all’altro quale utilizzare. Diciamo che il primo sta richiedendo al secondo di sapere un’informazione che solo lui possiede e, per essere sicuri che nessuno possa origliare, gli suggerisce in quale lingua parlare. Il secondo deve accosentire alla lingua da usare e deve anche fidarsi che, una volta rilasciata la sua informazione confidenziale, il primo non la vada a spifferare ai quattro venti. Come fa il secondo a fidarsi del primo? Semplicemente gli chiede delle referenze: esiste un certificato che attesta che tu sei chi dici di essere e sei affidabile? E se esiste, chi te l’ha rilasciato? È un pinco pallino qualunque o un’autorità riconosciuta a livello internazionale? Ecco che il primo esibisce il suo tesserino dell’FBI, e così il secondo si tranquilizza e gli spiffera tutto quanto.

Il Certificato di Sicurezza SSL fa esattamente questo: è un certificato che attesta che il Server che riceve i dati sensibili si impegna a comunicare con il client in modo sicuro e i dati che riceverà li uttilizzerà esclusivamente per i fini stabiliti all’interno della comunicazione.

Lazy Mix

In poche parole, è un certificato che attesta sicurezza delle informazioni e affidabilità del proprietario del Sito Web (che riceve i dati) e viene rilasciato da varie autorità (provider) sul Web.

Come funziona il certificato SSL.

Quando un’azienda vuole avere un Sito Web, acquista un dominio (il nome del sito) ed uno spazio all’interno di un Server (hosting) dove salvare le sue pagine Web e in modo che siano reperebili da chiunque conosca il dominio.

Per garantire la sicurezza delle informazioni l’azienda deve avvalersi anche di un certificato di sicurezza SSL che attesti la sicurezza delle informazioni e l’autorevolezza dell’azienda stessa.

Per farlo può rivolgersi direttamente al servizio di hosting o a varie authority online che rilasciano questi certificati. Queste sono delle vere e proprie società che si occupano di questo, un po’ come i vari enti accreditati per rilasciare i certificati sulla Qualità di un’azienda.

Il lucchetto chiuso vicino all'indirizzo del Sito Web garantisce la sicurezza dei dati trasferiti.
Figura 2: il lucchetto chiuso vicino all’indirizzo del Sito Web garantisce la sicurezza dei dati trasferiti.

Per capire se il tuo Sito Web ha un certificato di sicurezza SSL valido ti basta guardare alla barra degli indirizzi all’interno del tuo browser. Se avrà un lucchetto chiuso allora significa che quella pagina web è protetta nello scambio di informazioni.

Ottenere un certificato di sicurezza SSL per un Sito Web.

Oggi ottenere un certificato di sicurezza SSL è molto semplice. La maggior parte dei servizi di hosting (se non tutti) mettono a disposizione la cifratura tramite SSL come standard e forniscono anche la certificazione. Dovrai solo attivare il servizio (se non già automaticamente attivo all’acquisto dell’hosting) tramite il tuo pannello di controllo.

Se hai deciso di delegare il tutto ad un’agenzia web o ad un libero professionista non dovrai preoccuparti proprio di nulla: provvederanno loro a fare tutto quanto.

Sicurezza: Sito Web affidabile e autorevole.

Bene, siamo quasi giunti alla fine di questo articolo. Abbiamo detto poco fa che il cerificato attesta la sicurezza della comunicazione e l’affidabilità (e autorevolezza) del Sito Web con cui il Client scambierà dei dati.

La parte della sicurezza è stata vista in modo più che esaustivo, ma all’appello manca un’accurata spiegazione di che cosa significa il concetto di Sito autorevole e affidabile.

Per capire l’autorevolezza e l’affidabilità di un Sito Web mi avvalgo di un ennesimo esempio: poco fa ti ho accennato alla certificazione sulla Qualità che ogni azienda che produce qualcosa dovrebbe avere. Questa certificazione appura la qualità di un’azienda nei suoi vari processi produttivi, dalla qualità dei materiali utilizzati al lavoro svolto per arrivare al prodotto finito.

Non voglio andare troppo nel dettaglio non essendo un tecnico della qualità, ma possiamo dire che ci sono vari livelli di certificazione (dal più basso al più alto) che, se conseguiti, alzano il livello reale e percepito dell’azienda che è stata certificata. In base quindi all’ente che certifica e il livello di certificazione stessa, l’azienda potrà avvalersi di quella certificazione come un valore reale di alta qualità.

Per la certificazione di sicurezza SSL vale esattamente la stessa cosa. In base all’ente certificatore (l’authority web) e il livello di certificazione (che vedremo qui sotto) un Sito Web (e l’azienda che lo detiene) potrà avvalersi di vari livelli percepiti di affidabilità.

Perché parlo di livelli percepiti? Te lo spiego subito.

I diversi livelli di convalida (dati dall’autorevolezza) e la percezione.

Esistono 3 diversi livelli per il certificato di sicurezza SSL per un Sito Web, e ognuno di questi ricopre un’autorevolezza diversa. Vediamoli dal livello più basso a quello più alto.

  1. DV (Domain Validated): è la convalida a livello del Dominio, ovvero del nome del Sito Web (nome.estensione); è il livello più basso e certifica semplicemente che l’azienda o la persona che ne fa richiesta (o chi lo fa a sue veci) è l’effettivo proprietario del dominio;
  2. OV (Organization Validated): è la convalida di livello intermedio in cui viene certificata l’organizzazione e serve a rafforzarne la sua identità e immagine; se per convalidare il livello DV basta una semplice email, per gli OV potrà essere richiesto un contatto telefonico di uno o più rappresentanti dell’azienda certificata;
  3. EV (Extended Validated): è la convalida estesa di livello più alto ed è il maggior grado di sicurezza e affidabilità di un Sito Web; in alcuni browser rassicura il visitatore del sito facendo vedere la barra degli indirizzi in verde e con il nome della società per esteso; questa certificazione per essere rilasciata necessita di verifiche restrittive sulla società certificata, in modo da garantire che l’attività fa ed è esattamente quello che dichiara di essere.

L’ente certificatore al momento più grande e importante è la DigiCert. Colossi come Amazon e Facebook sono certificati da questo provider.

Prima ti ho parlato di percezione ed è proprio questo il fattore più grande che una persona potrà ricevere quando visiterà un Sito Web. Il certificato SSL assicura la sicurezza delle comunicazioni in tutti e 3 i livelli, mentre la percezione di autorevolezza e affidabilità verrà data in base al livello del certificato stesso.

La conseguenza naturale è che i livelli diventano importanti per quelle società abbastanza grandi e riconosciute a livello nazionale e internazionale, mentre per una piccola Partita IVA che opera su un territorio circoscritto andare ad ottenere una certificazione di secondo o terzo livello è del tutto ininfluente. L’importante per queste sarà garantire la sicurezza delle informazioni: basterà quindi un certificato di livello più basso.

Come avrai già immaginato, un livello di certificazione la potrai ottenere solamente andando a spendere più o meno denaro. C’è sempre un prezzo da pagare (giustamente) ma ci sono casi e casi: come ti ho spiegato qui sopra, ci sono società che necessitano di livelli OV ed EV, mentre altre molto più piccoline possono tranquillamente accontentarsi del DV.

Verificare il certificato di un Sito Web.

Per verificare il certificato di un Sito Web, ovvero che sia installato e funzionante e qual è il suo livello di convalida, ci sono vari modi.

Puoi cliccare sul lucchetto nella barra degli indirizzi (accanto al dominio del Sito Web) e leggerne le informazioni tecniche o più facilmente utilizzare un tool gratuito online.

Personalmente ti consiglio la seconda strada: per questo puoi utilizzare il tool di Ionos.

Figura 3: vista del tool di Ionos per verificare il certificato di sicurezza SSL di un Sito Web.

Ti basterà inserire l’indirizzo del Sito Web che desideri verificare e cliccare sul pulsante “Analizza il sito web”. In pochi secondo riceverai tutte le informazioni di cui hai bisogno.

Livelli gratis (Let’s Encrypt) e a pagamento.

Prima ti ho accennato al fatto che, per ottenere la certificazione, tu debba spendere dei soldi, soprattutto per certificazioni di secondo e terzo livello. Di conseguenza, spenderai di più salendo di livello e in base anche all’authority che ti rilascerà il certificato.

Ora, dato che ho iniziato questo articolo parlandoti di come, nei vari preventivi che ho visto in passato, troppo spesso vedevo dei costi esorbitanti alla voce “Certificato SSL”, riprendo in mano questa mia valutazione argomentandotela meglio (ora posso farlo perché finalmente hai capito a fondo cos’è questo benedetto certificato).

Io realizzo Siti Web e la strategia di Marketing per piccole e piccolissime Partite IVA. Di conseguenza, quando vado a realizzare un sito devo pensare anche al certificato SSL. Secondo te, alla luce delle informazioni che ti ho lasciato finora, qual è il livello che mi interessa attivare per i miei clienti?

Esatto, quello più basso, il DV. Ho garantita la sicurezza delle informazioni e tanto basta.

Capirai quindi che, per queste piccole realtà, andare a spendere centinaia di euro l’anno per il certificato SSL è solamente una spesa inutile (a danno dell’attività e a tutto vantaggio dell’agenzia o del libero professionista di turno che realizza il sito).

Ma magari queste Partite IVA hanno richiesto esplicitamente un certificato OV od EV, e quindi è naturale che costi quei prezzi.

Questa potrebbe essere una valida obiezione… se non fosse che, nella maggior parte dei casi che mi sono passati sotto mano, ho scoperto che il certificato attivo (o da attivare) era del provider Let’s Encrypt.

Figura 4: il Sito Web del provider Let’s Encrypt.

Let’s Encrypt è diventato il provider più famoso al mondo nel rilascio di Certificati di Sicurezza SSL completamente gratis. Data la sua natura gratuita rilascia solamente certificati di livello DV, ma più che sufficienti per il 90% o più dei siti ad ora in circolazione… senza dover sostenere anche la spesa di un certificato (che ricordo è a costo annuale).

Dover pagare (a volte profumatamente) per un certificato che si ottiene gratuitamente (e non richiede manutenzione, una volta attivo non ci pensi più) la trovo una pratica molto scorretta.

Capisco il bisogno di voler marginare di più a singolo cliente, ma lo si può fare fornendo un valore aggiunto reale al servizio, senza fare piccoli o grandi inganni contando sul fatto che in pochi (a parte i tecnici e ora anche tu che hai letto questo articolo) padroneggiano la materia.

È quello che ho deciso di fare io: tramite questi articoli voglio sensibilizzare soprattutto chi ha un’attività e vuole espandere il suo giro d’affari con un Sito Web, ma senza dover spendere una svalangata di soldi inutilmente. In questo senso ti invito a leggere la pagina di presentazione del mio servizio Lazy Web, in cui ti spiego come realizzo Siti Web che ti aiutano a trovare nuovi clienti.

Se ora non hai altro tempo da dedicare alla lettura ma vuoi saperne qualcosa di più sul mio servizio, puoi lasciarmi la tua email qui sotto e ricevere in comodità tutte le informazioni che ti servono direttamente nella tua casella di posta elettronica. Tranquillo, non ti invio spam o email puramente pubblicitarie. Non mi piace quel tipo di marketing. Ti prometto poco e ti mostro semplicemente quello che posso realizzare per te.

Direi che ti ho detto tutto quello che volevo. Concludo invitandoti a farmi tutte le domande che vuoi: commenta qui sotto o contattami su WhatsApp al numero +39 0433 786197 o direttamente via email scrivendo a [email protected]. Stammi bene!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *