Mi capita di incappare in preventivi per Partite IVA dove vengono riportati i costi annuali che l’azienda dovrebbe sostenere per il mantenimento del sito. In mezzo a questi costi mi colpisce la fantasia delle agenzie web (e liberi professionisti) nel trovare nuove voci per giustificare un prezzo troppo alto. Una voce ricorrente è quella legata al Certificato di Sicurezza SSL per il Sito Web: a volte è giusto pagarlo, ma a volte, essendo gratis (come quando è certificato dall’autorità Let’s Encrypt) il prezzo che gli viene dato non ha nessuna giustificazione alcuna.
Tranquillo. Posso averti fatto un po’ di confusione da questa premessa, ma in questo articolo andrò a risolvere ogni tuo dubbio in merito al certificato SSL. Solo alla fine parlerò dei prezzi e di come a volte questo possa essere anche gratis.
Ma partiamo dal principio. Prima di tutto vedremo cos’è (e per farlo dovrò farti una brevissima premessa su come funziona il Web). Poi analizzeremo come funziona. Infine, ti parlerò dei 3 livelli di certificazione possibile e se esiste una versione gratis (o se c’è sempre un prezzo da versare).
Indice dei contenuti.
- Come funziona la comunicazione su Internet.
- Comunicare in modo sicuro sul Web.
- Ottenere un certificato di sicurezza SSL per un Sito Web.
Come funziona la comunicazione su Internet.
Il certificato di sicurezza SSL va a certificare prima di tutto la sicurezza nello scambio di informazioni sul Web. Per capire quindi cosa sia e come funzioni questo certificato è fondamentale che prima ti sia chiaro come avviene questo scambio di informazioni e quali sono i principali attori protagonisti di questo scambio di dati.
In poche parole: capire a grandi linee come funziona Internet.
Prima di iniziare voglio fare una premessa. Quello che sto per dirti potrebbe far storcere il naso a qualche ingegnere informatico o sistemista o amministratore di reti. Infatti non sarò tecnico ma adatterò le informazioni che ti servono nel modo più semplice possibile per te; a volte potrei dire (volutamente) delle inesattezze, ma con il semplice scopo di renderti la spiegazione agevole.
Bene, ora possiamo iniziare: parliamo dello scambio di informazioni quando navighiamo online.
Accedere ai Siti Web.
Quando apri un browser (Chrome, Edge, Firefox, Safari ecc.) e accedi ad un Sito Web stai creando una comunicazione tra il tuo computer ed un altro computer sparso da qualche parte nel mondo.
Il tuo computer, tramite il browser, richiede di poter accedere ad un Sito Web. Il Sito Web lo possiamo vedere come un documento a più pagine che contengono a loro volta testi, immagini, video e link. Un documento del genere può essere salvato esclusivamente su di un altro computer. Questo è il motivo per cui, quando navighi online, ogni volta crei un canale di comunicazione con un altro pc.
La cosa funziona più o meno così: da browser chiedi ad un computer esterno alla tua rete di poter accedere al sito X, il computer esterno riceve la tua richiesta e, se possiede il sito web e tutto va a buon fine, ti risponde in modo affermativo allegando alla risposta il Sito X che gli hai richiesto. Ogni volta che fai un’azione su quel Sito Web stai inoltrando altre richieste al computer che lo contiene.
Come riportato in Figura 1 chiamiamo Client (il cliente che richiede il servizio, in questo caso la pagina web) il tuo computer, mentre Server (colui che rilascia il servizio) il computer al di fuori della tua rete.
Protocollo HTTP: richiedere e usufruire di un Sito Web.
Questo scambio di dati avviene tramite un tunnel bidirezionale tra Client e Server. Per gestire questo trasferimento di dati sono necessarie delle regole: queste sono state codificate all’interno di un protocollo chiamato HTTP. L’HTTP si occupa quindi di trasferire da un computer all’altro delle informazioni (le pagine Web).
Il suo acronimo sta per Hyper Text Transfer Protocol, ovvero protocollo di trasferimento di ipertesti; gli ipertesti per noi comuni mortali sono semplicemente pagine Web.
Comunicare in modo sicuro sul Web.
Agli albori di Internet il protocollo HTTP andava per la maggiore. Con il passare del tempo però sempre più problematiche si sono legate alla natura stessa del protocollo. Fino a quel momento era stato pensato esclusivamente per passare dei dati da un computer ad un altro, ma senza pensare troppo alla sicurezza di quest’ultimi.
Immagina per un momento due persone che stanno conversando tra di loro. Basta che ti avvicini il tanto che basta per origliare la loro conversazione e scoprire di cosa parlano. Finché parlano di gossip, politica o di altre cose di dominio pubblico non c’è un grosso problema di privacy. Certo, non è piacevole avere qualcuno che sta spiando, ma le informazioni passate non sono granché rilevanti per la tua sicurezza.
Internet all’inizio era questo: tante pagine web statiche senza un grosso scambio di dati sensibili.
Lazy Mix
Oggi però i tempi sono diversi. Quando ci colleghiamo ad un social e facciamo la login stiamo mandando ad un altro computer tramite HTTP il nostro nome utente e password. Quando acquistiamo online comunichiamo i nostri dati di pagamento come le carte di debito/credito.
L’HTTP non va più bene perché passa tutte le informazioni in chiaro.
Ora, ritorniamo per un secondo alle due persone che stanno conversando: diciamo che si stanno passando delle informazioni riservate; per essere sicuri che nessuno li stia spiando, potrebbero mettersi d’accordo su un linguaggio che capiscono solo loro due e parlare esclusivamente con questo. A quel punto io, ficcanaso come sono, non potrei comunque sapere di cosa stanno parlando.
Il Protocollo HTTP diventa HTTPS.
Secondo questo principio si è stabilito uno standard a livello mondiale per quanto riguarda la cifratura da adottare all’interno delle comunicazioni tra Client e Server. Tutto quello che passa dal mio PC a quello che contiene il Sito Web diventa leggibile solamente per questi due nodi della rete.
All’HTTP viene aggiunta una S finale, che sta per Secure, ovvero sicuro (protocollo di trasferimento di siti web in modalità sicura)… ma fattivamente come avviene questa criptazione dei dati?
La sicurezza tramite il Protocollo SSL.
È in questo momento che dobbiamo scomodare un altro protocollo, ovvero un altro sistema di regole che stabilisce la criptazione all’interno di un canale di comunicazione: il protocollo SSL.
Qui te la faccio facile facile: tramite SSL (che sta per Secure Socket Layer, che noi possiamo tradurre in modo errato ma funzionale in Sicurezza del Livello di Comunicazione) possiamo criptare quei dati che prima passavano via HTTP completamente in chiaro.
Praticamente l’HTTP trasferisce i dati avvalendosi anche del protocollo SSL, che si occupa di prendere quei dati e criptarli in una lingua che solo i due computer (Client e Server) possono capire. Tecnicamente si dice HTTP over SSL, e la sua abbreviazione l’abbiamo già conosciuta poco fa, ovvero HTTPS.
Ancora una cosa prima di proseguire nella spiegazione: l’algoritmo di criptazione utilizzato è uno standard mondiale ed è l’RSA a 2048 bit. A noi non interessa andare oltre perché diventerebbe un articolo fin troppo tecnico. Ti basti solo sapere che è il livello di criptazione più alto che al momento esiste al mondo.
Cos’è il certificato di sicurezza SSL per un Sito Web.
Bene, ora possiamo introdurre finalmente il concetto di Certificato di Sicurezza SSL per un Sito Web. Sì, ammetto di aver fatto una premesse più lunga di quello che avrei voluto. Era comunque indispensabile per permetterti di capire al meglio cosa sia questo certificato e come funziona.
Per spiegarti cos’è ritorniamo con l’immaginazione alle due persone che stanno conversando.
Per parlare tra di loro in sicurezza devono stabilire una lingua (criptazione) che possano capire solo loro due. Ma esistono diverse lingue al mondo (così come esistono diversi tipi di criptazione), quindi uno dei due deve imporre all’altro quale utilizzare.
Diciamo che il primo sta richiedendo al secondo di sapere un’informazione che solo lui possiede e, per essere sicuri che nessuno possa origliare, gli suggerisce in quale lingua parlare. Il secondo deve acconsentire alla lingua da usare e deve anche fidarsi che, una volta rilasciata la sua informazione confidenziale, il primo non la vada a spifferare ai quattro venti.
Come fa il secondo a fidarsi del primo? Semplicemente gli chiede delle referenze: esiste un certificato che attesta che tu sei chi dici di essere e sei affidabile? E se esiste, chi te l’ha rilasciato? È un pinco pallino qualunque o un’autorità di certificazione riconosciuta a livello internazionale? Ecco che il primo esibisce il suo tesserino dell’FBI, e così il secondo si tranquilizza e gli spiffera tutto quanto.
Il Certificato di Sicurezza SSL fa esattamente questo: è un certificato che attesta che il Server che riceve i dati sensibili si impegna a comunicare con il client in modo sicuro e i dati che riceverà li uttilizzerà esclusivamente per i fini stabiliti all’interno della comunicazione.
Lazy Mix
In poche parole, è un certificato che attesta sicurezza delle informazioni e affidabilità del proprietario del Sito Web (che riceve i dati). Viene rilasciato da varie autorità di certificazione (provider) sul Web.
Come funziona il certificato SSL.
Quando un’azienda vuole avere un Sito Web, acquista un dominio (il nome del sito) ed uno spazio all’interno di un Server (hosting). Sul Server salva le sue pagine Web in modo che siano reperebili da chiunque conosca il dominio.
Per garantire la sicurezza delle informazioni l’azienda deve avvalersi anche di un certificato di sicurezza SSL. Questo attesterà la sicurezza delle informazioni e l’autorevolezza dell’azienda stessa.
Per farlo può rivolgersi direttamente al servizio di hosting o a varie authority online che rilasciano questi certificati. Queste sono delle vere e proprie società che si occupano di questo, un po’ come i vari enti accreditati per rilasciare i certificati sulla Qualità di un’azienda.
Per capire se il tuo Sito Web ha un certificato di sicurezza SSL valido ti basta guardare alla barra degli indirizzi all’interno del tuo browser. Se avrà un lucchetto chiuso allora significa che quella pagina web è protetta nello scambio di informazioni.
Ottenere un certificato di sicurezza SSL per un Sito Web.
Oggi ottenere un certificato di sicurezza SSL è molto semplice. La maggior parte dei servizi di hosting (se non tutti) mettono a disposizione la cifratura tramite SSL come standard e forniscono anche la certificazione. Dovrai solo attivare il servizio (se non già automaticamente attivo all’acquisto dell’hosting) tramite il tuo pannello di controllo.
Se hai deciso di delegare il tutto ad un’agenzia web o ad un libero professionista non dovrai preoccuparti proprio di nulla. Provvederanno loro a fare tutto quanto.
Sicurezza: Sito Web affidabile e autorevole.
Bene, siamo quasi giunti alla fine di questo articolo. Abbiamo detto poco fa che il cerificato attesta la sicurezza della comunicazione e l’affidabilità (e autorevolezza) del Sito Web con cui il Client scambierà dei dati.
La parte della sicurezza è stata vista in modo più che esaustivo, ma all’appello manca un’accurata spiegazione di che cosa significa il concetto di Sito autorevole e affidabile.
Per capire l’autorevolezza e l’affidabilità di un Sito Web mi avvalgo di un ennesimo esempio. Poco fa ti ho accennato alla certificazione sulla Qualità che ogni azienda che produce qualcosa dovrebbe avere. Questa certificazione appura la qualità di un’azienda nei suoi vari processi produttivi, dalla qualità dei materiali utilizzati al lavoro svolto per arrivare al prodotto finito.
Non voglio andare troppo nel dettaglio non essendo un tecnico della qualità, ma possiamo dire che ci sono vari livelli di certificazione (dal più basso al più alto) che, se conseguiti, alzano il livello reale e percepito dell’azienda che è stata certificata. In base quindi all’ente che certifica e il livello di certificazione stessa, l’azienda potrà avvalersi di quella certificazione come un valore reale di alta qualità.
Per la certificazione di sicurezza SSL vale esattamente la stessa cosa. In base all’ente certificatore (l’authority web) e il livello di certificazione (che vedremo qui sotto) un Sito Web (e l’azienda che lo detiene) potrà avvalersi di vari livelli percepiti di affidabilità.
Perché parlo di livelli percepiti? Te lo spiego subito.
I diversi livelli di convalida (dati dall’autorevolezza) e la percezione.
Esistono 3 diversi livelli per il certificato di sicurezza SSL per un Sito Web, e ognuno di questi ricopre un’autorevolezza diversa. Vediamoli dal livello più basso a quello più alto.
- DV (Domain Validated): è la convalida a livello del Dominio, ovvero del nome del Sito Web (nome.estensione); è il livello più basso; certifica semplicemente che l’azienda o la persona che ne fa richiesta (o chi lo fa a sue veci) è l’effettivo proprietario del dominio;
- OV (Organization Validated): è la convalida di livello intermedio in cui viene certificata l’organizzazione e serve a rafforzarne la sua identità e immagine; se per convalidare il livello DV basta una semplice email, per gli OV potrà essere richiesto un contatto telefonico di uno o più rappresentanti dell’azienda certificata;
- EV (Extended Validated): è la convalida estesa di livello più alto ed è il maggior grado di sicurezza e affidabilità di un Sito Web; in alcuni browser rassicura il visitatore del sito facendo vedere la barra degli indirizzi in verde e con il nome della società per esteso; questa certificazione per essere rilasciata necessita di verifiche restrittive sulla società certificata, in questo modo garantisce che l’attività fa ed è esattamente quello che dichiara di essere.
L’ente certificatore al momento più grande e importante è la DigiCert. Colossi come Amazon e Facebook sono certificati da questo provider.
Prima ti ho parlato di percezione ed è proprio questo il fattore più grande che una persona potrà ricevere quando visiterà un Sito Web. Il certificato SSL assicura la sicurezza delle comunicazioni in tutti e 3 i livelli. La percezione di autorevolezza e affidabilità verrà data in base al livello del certificato stesso.
La conseguenza naturale è che i livelli diventano importanti per quelle società abbastanza grandi e riconosciute a livello nazionale e internazionale, mentre per una piccola Partita IVA che opera su un territorio circoscritto andare ad ottenere una certificazione di secondo o terzo livello è del tutto ininfluente. L’importante per queste sarà garantire la sicurezza delle informazioni: basterà quindi un certificato di livello più basso.
Come avrai già immaginato, un livello di certificazione la potrai ottenere solamente andando a spendere più o meno denaro. C’è sempre un prezzo da pagare (giustamente) ma ci sono casi e casi: come ti ho spiegato qui sopra, ci sono società che necessitano di livelli OV ed EV, mentre altre molto più piccoline possono tranquillamente accontentarsi del DV.
Verificare il certificato di un Sito Web.
Per verificare il certificato di un Sito Web (è installato e funzionante e qual è il suo livello di convalida), ci sono vari modi.
Puoi cliccare sul lucchetto nella barra degli indirizzi (accanto al dominio del Sito Web) e leggerne le informazioni tecniche. Puoi facilmente verificarne il tutto utilizzando un tool gratuito online.
Personalmente ti consiglio la seconda strada: per questo puoi utilizzare il tool di Ionos.
Ti basterà inserire l’indirizzo del Sito Web che desideri verificare e cliccare sul pulsante “Analizza il sito web”. In pochi secondo riceverai tutte le informazioni di cui hai bisogno.
Livelli gratis (Let’s Encrypt) e a pagamento.
Prima ti ho accennato al fatto che, per ottenere la certificazione, tu debba spendere dei soldi, soprattutto per certificazioni di secondo e terzo livello. Di conseguenza, spenderai di più salendo di livello e in base anche all’authority che ti rilascerà il certificato.
Ad inizio articolo ti ho parlato dei vari preventivi che ho visto in passato e che troppo spesso avevano costi esorbitanti alla voce “Certificato SSL”. Riprendo in mano questa mia valutazione argomentandola meglio (ora posso farlo perché finalmente hai capito a fondo cos’è questo benedetto certificato).
Io realizzo Siti Web e la strategia di Marketing per piccole e piccolissime Partite IVA. Di conseguenza, quando vado a realizzare un sito devo pensare anche al certificato SSL. Secondo te, alla luce delle informazioni che ti ho lasciato finora, qual è il livello che mi interessa attivare per i miei clienti?
Esatto, quello più basso, il DV. Ho garantita la sicurezza delle informazioni e tanto basta.
Capirai quindi che, per queste piccole realtà, andare a spendere centinaia di euro l’anno per il certificato SSL è solamente una spesa inutile. Una spesa che va a danno dell’attività e a tutto vantaggio dell’agenzia o del libero professionista di turno che realizza il sito.
Ma magari queste Partite IVA hanno richiesto esplicitamente un certificato OV od EV, e quindi è naturale che costi quei prezzi.
Questa potrebbe essere una valida obiezione. Peccato che nella maggior parte dei casi che mi sono passati sotto mano, ho scoperto che il certificato attivo (o da attivare) era del provider Let’s Encrypt.
Let’s Encrypt è diventato il provider più famoso al mondo nel rilascio di Certificati di Sicurezza SSL completamente gratis. Data la sua natura gratuita rilascia solamente certificati di livello DV, ma più che sufficienti per il 90% o più dei siti ad ora in circolazione… senza dover sostenere anche la spesa di un certificato (che ricordo è a costo annuale).
Dover pagare (a volte profumatamente) per un certificato che si ottiene gratuitamente (e non richiede manutenzione) la trovo una pratica molto scorretta.
Capisco il bisogno di voler marginare di più a singolo cliente, ma lo si può fare fornendo un valore aggiunto reale al servizio. Non serve fare piccoli o grandi inganni contando sul fatto che in pochi (a parte i tecnici e ora anche tu che hai letto questo articolo) padroneggiano la materia.
È quello che ho deciso di fare io. Tramite questi articoli voglio sensibilizzare soprattutto chi ha un’attività e vuole espandere il suo giro d’affari con un Sito Web. Il tutto senza dover spendere una svalangata di soldi inutilmente. In questo senso ti invito a leggere la pagina di presentazione del mio servizio Lazy Web, in cui ti spiego come realizzo Siti Web che ti aiutano a trovare nuovi clienti.
Se ora non hai altro tempo da dedicare alla lettura ma vuoi saperne qualcosa di più sul mio servizio, puoi lasciarmi la tua email e il tuo numero di telefono qui sotto. Ti ricontatterò entro 48 ore per stabilire con te il giorno e l’ora migliori per una consulenza telefonica gratuita e senza nessun impegno da parte tua.
Direi che ti ho detto tutto quello che volevo. Puoi anche farmi tutte le domande che vuoi qui, commentando qui sotto, o contattandomi su WhatsApp al numero +39 0433 786197 o direttamente via email scrivendomi a ufficio@lazymix.it. Stammi bene!
