Che cos'è il Secure Sockets Layer (SSL)?
SSL è l'acronimo di Secure Sockets Layer. Il protocollo SSL era un protocollo di sicurezza Internet progettato per stabilire una connessione crittografata tra server Web e client. Oggi l'SSL è stato sostituito da TLS (Transport Layer Security), ma molti si riferiscono ancora a questa tecnologia con l'acronimo SSL.
Un certificato SSL comprende una chiave pubblica e una privata, che consentono di proteggere le transazioni online e le informazioni dei clienti.
A volte chiamato "handshake SSL", il controllo di sicurezza inizia quando un utente cerca di connettersi a un sito web protetto da SSL. Il browser chiede al server del sito di identificarsi e riceve una copia del certificato SSL. Dopo aver convalidato l'affidabilità del certificato SSL, viene stabilita una connessione sicura che consente il passaggio di dati crittografati tra il browser e il server.
Nei moderni browser Internet, si sa che un sito web è sicuro se l'URL nella barra degli indirizzi contiene HTTPS. Visivamente, questo viene comunicato con un'icona a forma di lucchetto. È possibile fare clic su questo simbolo su qualsiasi sito web HTTPS per leggere il certificato.
Termini comuni relativi all'SSL
Se siete nuovi nel mondo della sicurezza di Internet, potreste essere confusi anche su altri termini comuni.
In breve, ecco come SSL si differenzia dai comuni termini di sicurezza web come TLS e HTTPS:
- TLS: Transport Layer Security è il successore di SSL. È un protocollo più avanzato per mantenere la privacy, la sicurezza e l'autenticità online attraverso i certificati.
- HTTP: HyperText Transfer Protocol è il livello applicativo originale alla base di Internet in un modello client-server. I siti e gli URL HTTP non dispongono di un certificato sicuro.
- HTTPS: HyperText Transfer Protocol Secure è la variante sicura di HTTP, utilizzata da oltre il 79% dei siti web, secondo W3Techs.com. Questi siti utilizzano in genere certificati TLS.
Perché l'SSL è importante?
In che modo l'SSL influisce sulla SEO del vostro sito web?
Tecnicamente, l'SSL non è coinvolto. Ora che l'SSL è stato deprecato e sostituito da TLS, la tecnologia alimenta HTTPS, la variante sicura di HTTP utilizzata dalla maggior parte dei siti web.
In breve, ecco perché HTTPS è importante per la SEO:
- HTTPS è un segnale di ranking leggero: Google include l'HTTPS come fattore di ranking.
- L'HTTPS offre maggiore sicurezza e privacy: Cripta i dati scambiati tra utenti e siti web.
- HTTPS preserva i dati di riferimento: Assicura dati di riferimento accurati in Google Analytics.
- L'HTTPS può aumentare la velocità del sito se utilizzato con i protocolli moderni: Supporta HTTP/2, che può migliorare la velocità del sito.
D'altro canto, è importante pensare a come la mancanza di HTTPS possa influire sul vostro sito web nelle ricerche.
L'algoritmo di Google include il protocollo HTTPS come segnale di ranking, il che in teoria potrebbe migliorare il vostro sito. Tuttavia, considerando la diffusione dell'HTTPS, è più probabile che il vostro sito soffra nei risultati di ricerca se non lo avete.
Ricordate che il coinvolgimento degli utenti è un segnale chiave per il ranking, quindi quando le persone cliccano sul vostro sito nei risultati di ricerca, è fondamentale che rimangano sulla pagina e interagiscano con essa, invece di rimbalzare subito.
Un sito web insicuro spesso visualizza un avviso "Non sicuro" che può spaventare gli utenti in arrivo e vanificare le metriche di coinvolgimento degli utenti del vostro sito. Proprio per questo motivo, il vostro SEO trarrà beneficio da un certificato TLS.
Migliori pratiche per i certificati TLS/SSL
1. Ottenere il certificato da un'autorità di certificazione (CA) affidabile
L'intero scopo dei certificati è quello di fornire una sicurezza affidabile alle persone che navigano sul web. Per questo è necessario acquistare il certificato da un'autorità di certificazione autorizzata.
Tra le società di autorità di certificazione più note vi sono Symantec, GoDaddy, DigiCert e GeoTrust. La maggior parte delle CA affidabili offre anche un supporto tecnico per garantire la corretta installazione del certificato.
2. Non pagate troppo per un certificato non necessario
Esistono vari tipi di certificati, tra cui DV, OV ed EV. La differenza principale sta nella garanzia che si ottiene dalla CA.
- Dominio convalidato (DV): Richiede uno sforzo minimo per la convalida, che in genere consiste nel dimostrare la proprietà del dominio tramite un'e-mail o una telefonata. È la soluzione migliore per i blog o i siti web informativi che non hanno bisogno di raccogliere molte informazioni personali dai loro visitatori.
- Organizzazione convalidata (OV): Progettato per siti web commerciali e aziende che raccolgono e memorizzano informazioni sui clienti attraverso i loro siti web.
- Validazione estesa (EV): È il tipo di certificato di grado più elevato e più esteso e richiede la verifica dell'identità legale dell'entità richiedente. È l'ideale per i siti web che richiedono ai visitatori una grande quantità di informazioni personali sensibili, in particolare i siti medici o bancari.
Se avete un blog tipico, un certificato DV dovrebbe essere sufficiente.
Tuttavia, a seconda del numero di siti web e/o sottodomini che si desidera coprire con un unico certificato, potrebbe essere necessario scegliere tra un certificato wildcard (migliore per più sottodomini) e un certificato subject alternative name (SAN) (migliore per più siti web).
- Certificato Wildcard: Progettato per proteggere più sottodomini dello stesso sito web, più economico rispetto all'acquisto di un certificato dedicato per ogni sottodominio.
- Certificato SAN: Progettato per proteggere più nomi di dominio o siti web contemporaneamente, con un notevole risparmio di tempo e denaro.
3. Non dimenticare che i certificati scadono
I certificati SSL/TLS scadono dopo 398 giorni e devono essere rinnovati per tempo. L'opzione di rinnovo è possibile entro 30 giorni dalla data di scadenza.
Si noti che i certificati TLS non si rinnovano da soli e la conseguenza di un certificato TLS scaduto è che il vostro sito web non sarà più considerato sicuro, mettendo a rischio sia i dati del vostro sito sia le informazioni dei vostri visitatori.
Ricevere un'e-mail dalla propria CA e seguire le istruzioni per il rinnovo.
Domande frequenti
I certificati SSL/TLS coprono i sottodomini?
No. Anche i certificati wildcard coprono solo un livello per i sottodomini, quindi è necessario un altro certificato, oppure è possibile utilizzare un certificato SAN.
Qual è la durata massima del certificato SSL/TLS?
Dal 1° settembre 2020, la durata massima di un certificato SSL o TLS è di 398 giorni. Dopo la scadenza, è necessario sostituire il certificato scaduto.
È possibile ottenere un certificato SSL/TLS gratuitamente?
Sì, è possibile. Ad esempio, LetsEncrypt e Cloudflare forniscono certificati, ma solo i certificati DV (domain-validated) sono gratuiti. Questo è il tipo di certificato più comune e viene verificato solo attraverso il nome del dominio.
La maggior parte dei provider di web hosting offre certificati gratuiti quando si acquista un hosting da loro.