Certificato SSL/TLS: Cos'è e Come Installarlo [Guida 2026]

Il browser mostra "Non sicuro" accanto all'URL del tuo sito. I visitatori abbandonano la pagina prima ancora di leggerla. Google ti penalizza nelle classifiche di ricerca. E, cosa più grave, ogni dato trasmesso — password, email, numeri di carta di credito — viaggia in chiaro, leggibile da chiunque sulla stessa rete.

Non è un problema tecnico raro: è ciò che accade quando un sito web non ha un certificato SSL/TLS attivo. A ottobre 2026, con il rilascio di Chrome 154, Google attiverà per impostazione predefinita l'opzione "Always Use Secure Connections" per tutti gli utenti, mostrando un avviso esplicito prima di caricare qualsiasi pagina HTTP [gabrielebertoloni.it]. In altre parole: HTTPS non è più un optional — è il requisito minimo per esistere online.

A rendere il 2026 un anno di svolta c'è anche un'altra novità: dal 15 marzo 2026, la validità massima dei certificati TLS pubblicamente attendibili è stata ridotta a 200 giorni (in calo rispetto ai precedenti 398). E il percorso è tracciato: 100 giorni nel 2027 e 47 giorni entro il 2029 [sectigo.com] [ssl.com]. In questo scenario, l'automazione del rinnovo non è più una comodità: è una necessità operativa.

Questa guida spiega cosa sono i certificati SSL/TLS, come funzionano, quali tipologie esistono e come installarli correttamente su siti web e server email. Con istruzioni pratiche per i domini ospitati su Neomedia e consigli per evitare gli errori più comuni.

SSL vs TLS: perché si usano ancora entrambi i nomi

SSL (Secure Sockets Layer) e TLS (Transport Layer Security) sono protocolli crittografici che proteggono la comunicazione tra due sistemi — tipicamente un browser e un server web. Spesso vengono usati come sinonimi, ma tecnicamente non lo sono.

SSL è il progenitore: sviluppato da Netscape a metà degli anni '90, è arrivato fino alla versione 3.0 prima di essere definitivamente deprecato nel 2015 con la RFC 7568. Tutte le versioni di SSL sono oggi considerate insicure e non devono più essere utilizzate.

TLS è il successore standardizzato dall'IETF (Internet Engineering Task Force):

• TLS 1.0 (1999): prima evoluzione di SSL 3.0, ormai deprecato da marzo 2021 (RFC 8996)
• TLS 1.1 (2006): deprecato insieme a TLS 1.0
• TLS 1.2 (2008): ancora ampiamente utilizzato, considerato sicuro se configurato correttamente
• TLS 1.3 (2018, RFC 8446): la versione più recente, più veloce e sicura, supportata dal 75,3% dei principali siti web [gabrielebertoloni.it]

Perché allora si continua a dire "certificato SSL"? Per abitudine consolidata. Il termine "SSL" è rimasto nel linguaggio comune — provider di hosting, pannelli di controllo e persino molte Certificate Authority usano ancora questa dicitura. Ma il protocollo effettivamente in uso è TLS. In questa guida si userà la dicitura "SSL/TLS" per precisione, ma quando si legge "certificato SSL" in un pannello di controllo, si tratta quasi sempre di un certificato TLS.

HTTP vs HTTPS: cosa cambia davvero

HTTP (HyperText Transfer Protocol) è il protocollo che governa lo scambio di dati sul web. Nella sua versione base, i dati viaggiano in chiaro: ogni richiesta, ogni risposta, ogni cookie di sessione è testo leggibile da chiunque si trovi sulla stessa rete.

HTTPS aggiunge la "S" di Secure: il canale di comunicazione viene cifrato tramite TLS. Questo garantisce tre proprietà fondamentali:

1. Riservatezza: i dati sono cifrati. Un malintenzionato sulla stessa rete Wi-Fi non può leggere ciò che l'utente sta inviando o ricevendo.
2. Integrità: i dati non possono essere alterati in transito senza che il destinatario se ne accorga.
3. Autenticazione: il certificato dimostra che il server a cui ci si connette è effettivamente quello che dichiara di essere, prevenendo attacchi man-in-the-middle.

Esempio quotidiano. Un professionista in coworking si collega al Wi-Fi pubblico e accede alla webmail aziendale. Se il server mail usa HTTP (o SMTP/POP3 senza TLS), un collega di scrivania con strumenti di packet sniffing può catturare username e password in pochi secondi. Con HTTPS, vede solo dati cifrati incomprensibili.

Caratteristica	HTTP	HTTPS
Crittografia	Nessuna (dati in chiaro)	TLS 1.2/1.3
Indicatore browser	"Non sicuro"	Icona lucchetto
Fattore ranking Google	No	Sì (dal 2014)
Costo certificato	Nessuno	Gratuito con Let's Encrypt
Chrome 154 (ottobre 2026)	Avviso prima del caricamento	Caricamento normale

Come funziona l'handshake TLS: il "dialogo" tra browser e server

Ogni volta che un browser si connette a un sito HTTPS, avviene un handshake TLS — una serie di messaggi scambiati tra client e server prima che qualsiasi dato venga trasmesso. L'intero processo dura frazioni di secondo, ma capirlo aiuta a diagnosticare i problemi quando qualcosa non funziona.

Ecco il flusso semplificato:

1. Client Hello: il browser si presenta al server, comunicando quali versioni TLS e suite di cifratura supporta.
2. Server Hello: il server risponde scegliendo la versione TLS e la suite di cifratura da utilizzare, e invia il proprio certificato digitale contenente la chiave pubblica.
3. Verifica del certificato: il browser controlla che il certificato sia valido, emesso da una Certificate Authority (CA) attendibile e corrisponda al dominio visitato. Se il controllo fallisce, il browser mostra un avviso.
4. Scambio della chiave di sessione: il browser genera una chiave simmetrica temporanea, la cifra con la chiave pubblica del server e la invia. Solo il server, con la propria chiave privata, può decifrarla.
5. Comunicazione cifrata: da questo momento, tutti i dati vengono cifrati con la chiave di sessione simmetrica — più veloce della crittografia asimmetrica usata nell'handshake.

Analogia. Immagini di dover inviare un pacco sigillato a un destinatario che non hai mai incontrato. L'handshake TLS funziona così: il destinatario ti manda una cassaforte aperta (la chiave pubblica), ma solo lui ha la combinazione per aprirla (la chiave privata). Tu inserisci dentro una chiave segreta e chiudi la cassaforte. Da quel momento, usi la chiave segreta per cifrare tutti i pacchi successivi. Anche se qualcuno intercetta la cassaforte durante il viaggio, senza la combinazione non può aprire il pacco.

Tipi di certificati: DV, OV, EV — quale serve davvero

Non tutti i certificati SSL/TLS sono uguali. La differenza fondamentale riguarda il livello di validazione effettuato dalla Certificate Authority (CA) prima di emettere il certificato. Questa validazione determina quanto un visitatore può fidarsi dell'identità dietro il sito.

Esistono tre livelli:

• Domain Validation (DV): la CA verifica solo che il richiedente controlli effettivamente il dominio. Il processo è completamente automatizzato: si conferma la proprietà tramite un file sul server, un record DNS TXT o un'email amministrativa. Tempo di emissione: pochi minuti. È il livello standard per blog, siti personali e piccoli progetti.
• Organization Validation (OV): la CA verifica anche l'esistenza legale dell'organizzazione che richiede il certificato. Comporta controlli sui documenti di registrazione aziendale e verifiche telefoniche. Tempo di emissione: 1-3 giorni lavorativi. I dati aziendali verificati sono visibili nel certificato, rafforzando la fiducia. Adatto a siti aziendali e PMI [ssl.com].
• Extended Validation (EV): il livello più rigoroso. La CA esegue una verifica approfondita dell'identità dell'organizzazione, inclusi controlli fisici e legali. Tempo di emissione: 1-5 giorni lavorativi. Fino a qualche anno fa, i browser mostravano il nome dell'azienda nella barra degli indirizzi per i certificati EV. Oggi quell'indicatore è stato rimosso da Chrome e Safari, riducendo il vantaggio visivo, ma l'EV resta rilevante per banche, e-commerce di grandi dimensioni e siti ad alto profilo [sitegrade.io] [ssl.com].

Tipo	Costo medio/anno	Emissione	Ideale per
DV	Gratuito (Let's Encrypt) o €5-50	Minuti	Blog, siti vetrina, landing page
OV	€50-200	1-3 giorni	Siti aziendali, portali PMI
EV	€200-800	1-5 giorni	Banche, e-commerce grandi, enti pubblici

Validità 200 giorni: cosa cambia nel 2026 (e perché l'automazione non è più un optional)

Fino al 2020, un certificato SSL/TLS poteva durare fino a 825 giorni. Poi il CA/Browser Forum ha votato una riduzione progressiva: prima 398 giorni, poi — dal 15 marzo 2026 — un massimo di 200 giorni per i certificati di nuova emissione [sectigo.com].

Non è finita qui. La roadmap approvata prevede:

• 2027: validità massima di 100 giorni
• 2029: validità massima di 47 giorni [ssl.com]

Cosa significa in pratica. Con certificati da 200 giorni, un'organizzazione che gestisce 50 domini passa da circa 46 rinnovi all'anno (con la vecchia validità di 398 giorni) a circa 91 rinnovi annui — quasi il doppio. Con 47 giorni, il numero sale a circa 388 rinnovi all'anno. Gestire tutto manualmente diventa impossibile senza errori.

La soluzione esiste già: il protocollo ACME (Automatic Certificate Management Environment, RFC 8555), sviluppato dall'Internet Security Research Group, consente l'emissione, il rinnovo e la revoca automatica dei certificati senza intervento umano. Let's Encrypt, ma anche CA commerciali come SSL.com, supportano ACME. Configurarlo oggi significa essere pronti per le scadenze del 2027 e 2029 [ssl.com].

Let's Encrypt vs certificati a pagamento: pro, contro e come scegliere

Dal 2016, l'arrivo di Let's Encrypt — Certificate Authority no-profit gestita dall'Internet Security Research Group (ISRG) — ha cambiato radicalmente il panorama dei certificati SSL/TLS. Oggi è la CA più grande al mondo per volume di certificati emessi.

I certificati Let's Encrypt sono:

• Gratuiti, senza costi di emissione né rinnovo
• Domain Validation (DV), emessi in pochi secondi
• Validità 90 giorni, con rinnovo automatico via protocollo ACME (RFC 8555)
• Integrati nella maggior parte dei pannelli di hosting moderni (cPanel, Plesk, DirectAdmin)

La validità ridotta a 90 giorni non è un difetto: è una scelta di sicurezza. Periodi più brevi riducono la finestra di danno in caso di compromissione della chiave privata e obbligano all'automazione — chi configura correttamente il rinnovo automatico non deve più pensarci [sitegrade.io]. Con l'entrata in vigore del limite di 200 giorni anche per i certificati a pagamento, il modello operativo di Let's Encrypt si è rivelato anticipatore.

Quando bastano i certificati gratuiti

• Siti personali, blog, portfolio
• Siti vetrina per piccole imprese
• Applicazioni web interne (non rivolte al pubblico)
• Qualsiasi progetto dove l'identità dell'organizzazione non è un fattore critico di fiducia

Quando conviene un certificato a pagamento (OV/EV)

• E-commerce che gestiscono transazioni con carta di credito
• Siti di banche, assicurazioni e servizi finanziari
• Portali della Pubblica Amministrazione
• Aziende che vogliono il supporto commerciale diretto della CA in caso di problemi
• Organizzazioni che necessitano di un certificato con garanzia economica (warranty) in caso di emissione fraudolenta

Attenzione: i certificati gratuiti sono sempre più utilizzati anche dai criminali informatici per rendere credibili pagine di phishing. Un lucchetto nella barra degli indirizzi indica che la connessione è cifrata, non che il sito sia legittimo. Per approfondire questo tema, consultare la Guida al Phishing 2026 di Neomedia.

Installazione pratica: certificato su sito web e server email

Il processo di installazione dipende dall'ambiente di hosting. Di seguito la procedura per i tre scenari più comuni, valida anche per chi gestisce domini tramite Neomedia Domini.

Su cPanel / pannello hosting condiviso

1. Accedere al pannello di controllo del proprio hosting.
2. Cercare la sezione "SSL/TLS" o "Sicurezza".
3. Selezionare "Let's Encrypt" (o "AutoSSL" su cPanel).
4. Scegliere il dominio da proteggere e spuntare l'opzione per includere i sottodomini (es. www e mail).
5. Cliccare su "Installa" o "Emetti". Il certificato viene generato e installato automaticamente.
6. Attivare l'opzione di rinnovo automatico (di solito già preimpostata).

Su Apache / Nginx (VPS o server dedicato)

Per server Linux con accesso shell, lo strumento standard è Certbot (sviluppato dalla Electronic Frontier Foundation):

# Installare Certbot (Ubuntu/Debian)
sudo apt update && sudo apt install certbot python3-certbot-apache

# Per Apache
sudo certbot --apache -d example.com -d www.example.com

# Per Nginx
sudo certbot --nginx -d example.com -d www.example.com

# Verificare il rinnovo automatico
sudo certbot renew --dry-run

Certbot modifica automaticamente la configurazione del server web, abilita HTTPS e imposta un cron job per il rinnovo automatico. Per ambienti più complessi, è disponibile anche la modalità certonly che genera solo i file del certificato senza toccare la configurazione del server.

Proteggere la posta elettronica: TLS su SMTP, IMAP e POP3

La crittografia non riguarda solo il traffico web. Anche la posta elettronica in transito tra client e server (o tra server mail) può — e deve — essere protetta con TLS. Questo è particolarmente rilevante per chi utilizza servizi di Posta Elettronica Certificata Neomedia o email professionali su dominio proprio.

Un certificato SSL/TLS per email protegge tre protocolli:

• SMTP (invio) — porta 587 con STARTTLS, o porta 465 con TLS implicito
• IMAP (ricezione) — porta 993 con TLS
• POP3 (ricezione) — porta 995 con TLS

Su pannelli come cPanel, un certificato wildcard o multi-dominio installato per il sito web copre automaticamente anche mail.example.com. In caso di server email dedicato, il certificato va installato sul mail server (Postfix, Dovecot, Exim) seguendo la documentazione specifica.

Per verificare che l'email in transito sia protetta, è possibile utilizzare strumenti come CheckTLS.com o inviare un'email di test a check-auth@verifier.port25.com, che risponde con un report dettagliato sulla crittografia del canale.

Verifica del certificato, errori comuni e rinnovo

Strumenti per verificare un certificato

• SSL Labs Server Test (ssllabs.com/ssltest/): analisi completa della configurazione TLS, valuta suite di cifratura, versioni di protocollo e catena di certificati. Assegna un punteggio da A+ a F.
• SSL Checker (sslshopper.com): verifica rapida della validità del certificato, della catena intermedia e della corrispondenza del nome dominio.
• Why No Padlock? (whynopadlock.com): diagnostica problemi di contenuto misto (mixed content) che impediscono al browser di mostrare il lucchetto.
• Comando OpenSSL: per verifiche da terminale: openssl s_client -connect example.com:443 -servername example.com.

Errori comuni e come risolverli

1. Certificato scaduto. Il browser mostra un avviso a pagina intera che blocca l'accesso. Causa: rinnovo automatico non configurato o fallito. Soluzione: verificare lo stato del certificato e forzare il rinnovo manuale. Impostare un monitoraggio (es. UptimeRobot, Nagios) che avvisi 30 giorni prima della scadenza. A partire dal 15 marzo 2026, la validità massima è di 200 giorni — meno di 7 mesi — con ulteriori riduzioni pianificate a 100 giorni (2027) e 47 giorni (2029). L'automazione del rinnovo via ACME (RFC 8555) non è più un optional: è l'unico modo per gestire volumi crescenti di rinnovi senza errori umani [sectigo.com] [ssl.com].
2. Name mismatch. Il certificato è valido per example.com ma il sito viene visitato come www.example.com (o viceversa). Soluzione: assicurarsi che il certificato copra tutte le varianti del dominio (incluso e senza www). I certificati Let's Encrypt includono automaticamente entrambe le versioni se richiesto. In alternativa, usare un certificato wildcard (*.example.com).
3. Catena intermedia mancante. Il certificato del server è firmato da una CA intermedia, che a sua volta è firmata da una CA radice. Se il server non invia tutti i certificati intermedi, il browser non riesce a costruire la catena di fiducia. Soluzione: configurare il server per inviare il file della catena completa (fullchain.pem su Let's Encrypt, o "CA Bundle" su altri provider).
4. Contenuto misto (mixed content). La pagina è servita via HTTPS ma contiene risorse (immagini, script, fogli di stile, font) caricate via HTTP. Il browser mostra un avviso di "connessione non completamente sicura" o rompe il lucchetto. Soluzione: aggiornare tutti gli URL interni a HTTPS. Su WordPress, plugin come Really Simple SSL risolvono automaticamente la maggior parte dei casi.
5. Configurazione TLS debole. Il server supporta ancora TLS 1.0, TLS 1.1 o suite di cifratura obsolete come RC4 e 3DES. Soluzione: configurare il server per accettare solo TLS 1.2 e TLS 1.3, con suite di cifratura moderne. Su Apache/Nginx, modificare le direttive SSLProtocol e SSLCipherSuite.
6. Redirect HTTP → HTTPS mancante o errato. Il sito è accessibile sia via HTTP che HTTPS, creando contenuto duplicato per i motori di ricerca. Soluzione: configurare un redirect 301 permanente da tutte le URL HTTP alle corrispondenti HTTPS. Su Apache, aggiungere al file .htaccess le regole RewriteCond appropriate [gabrielebertoloni.it].

Rinnovo automatico: perché è critico

Un certificato scaduto equivale a un sito offline. I browser moderni non mostrano più un semplice avviso ignorabile: bloccano completamente il caricamento con una schermata di errore. La maggior parte degli utenti non procederà oltre.

Con la validità massima ridotta a 200 giorni (e in rotta verso i 47), la prevenzione si basa su tre pilastri:

1. Automazione via ACME: Certbot su Linux, AutoSSL su cPanel, o l'integrazione nativa di Let's Encrypt nel pannello di controllo. Il rinnovo deve avvenire senza intervento umano. Il protocollo ACME (RFC 8555) è supportato da Let's Encrypt e da un numero crescente di CA commerciali [ssl.com].
2. Monitoraggio: anche l'automazione può fallire (cambio di IP, permessi del file system, scadenza del dominio). Un sistema di alerting che notifichi con 30 giorni di anticipo è indispensabile.
3. Ridondanza: per i servizi critici, valutare un certificato di backup da una CA diversa, o l'uso di un servizio CDN/reverse proxy (es. Cloudflare) che gestisca TLS al bordo.

Domande frequenti (FAQ)

Che differenza c'è tra SSL e TLS?

SSL (Secure Sockets Layer) è il predecessore di TLS (Transport Layer Security), ormai completamente deprecato. Oggi si utilizza esclusivamente TLS (versioni 1.2 e 1.3), ma il termine "certificato SSL" è rimasto in uso per abitudine. Tecnicamente, il protocollo attivo è TLS. Per approfondire le differenze tra protocolli, consultare la guida TCP vs UDP.

Il certificato SSL è obbligatorio per legge (GDPR)?

Il GDPR (Regolamento UE 2016/679) non menziona esplicitamente HTTPS o i certificati SSL/TLS, ma impone l'adozione di "misure tecniche e organizzative adeguate" per garantire la sicurezza dei dati personali (Art. 32). La crittografia in transito tramite TLS è considerata una misura tecnica adeguata. Un sito che tratta dati personali (es. form di contatto, newsletter, login) senza HTTPS è esposto a rischio di non conformità. Inoltre, la direttiva ePrivacy (Direttiva 2002/58/CE, in fase di revisione con il nuovo Regolamento ePrivacy) rafforza gli obblighi di riservatezza delle comunicazioni elettroniche. Per una panoramica completa sulla protezione dei dati, leggere la guida al cloud sovrano e AI.

Quanto costa un certificato SSL/TLS?

Esistono certificati gratuiti (Let's Encrypt, gestiti da quasi tutti i provider di hosting moderni) e certificati a pagamento. I DV a pagamento costano tra 5 e 50 € all'anno, gli OV tra 50 e 200 €, gli EV tra 200 e 800 €. Per la maggior parte dei siti vetrina e blog, un certificato Let's Encrypt gratuito è più che sufficiente.

Un certificato SSL protegge il mio sito dagli attacchi hacker?

No, o meglio: solo in parte. TLS cifra il canale di comunicazione tra utente e server, ma non protegge il server stesso. Se il server è compromesso (vulnerabilità nel CMS, plugin non aggiornati, password deboli), TLS non offre alcuna protezione. La sicurezza di un sito web richiede un approccio stratificato: HTTPS, firewall applicativo (WAF), aggiornamenti regolari, backup automatici e autenticazione a due fattori per gli accessi amministrativi. TLS è il primo strato, non l'unico.

Posso usare lo stesso certificato per sito web e email?

Sì, se il certificato copre entrambi gli hostname. Un certificato wildcard (*.example.com) protegge www.example.com, mail.example.com e qualsiasi altro sottodominio. In alternativa, un certificato multi-dominio (SAN) può includere esplicitamente example.com, www.example.com e mail.example.com. Su cPanel, il certificato Let's Encrypt installato per il dominio principale copre automaticamente anche i servizi email.

Quanto dura un certificato SSL/TLS nel 2026?

Dal 15 marzo 2026, la durata massima per i certificati TLS pubblicamente attendibili è di 200 giorni (circa 6 mesi e mezzo), in netta riduzione rispetto ai precedenti 398 giorni. Il CA/Browser Forum ha già approvato ulteriori riduzioni: 100 giorni nel 2027 e 47 giorni entro il 2029 [sectigo.com] [ssl.com]. I certificati Let's Encrypt, già emessi con validità di 90 giorni, sono progettati per il rinnovo automatico e risultano allineati a questa tendenza. Per tutti gli altri certificati, l'automazione via ACME è il metodo consigliato per gestire rinnovi sempre più frequenti senza rischi di scadenza.

Google penalizza davvero i siti senza HTTPS?

Sì. Google ha confermato nel 2014 che HTTPS è un fattore di ranking. Il peso di questo segnale è aumentato nel tempo. Inoltre, da ottobre 2026 Chrome 154 attiverà "Always Use Secure Connections" per tutti gli utenti, mostrando un avviso prima di caricare siti HTTP [gabrielebertoloni.it]. L'impatto combinato su SEO e fiducia degli utenti rende HTTPS indispensabile.

Conclusione: quattro cose da ricordare

1. HTTPS non è un optional. Con le policy dei browser sempre più restrittive, le penalizzazioni SEO e gli obblighi normativi (GDPR, NIS2), un certificato SSL/TLS è il requisito minimo per qualsiasi presenza online, dal blog personale all'e-commerce.
2. Let's Encrypt gratuito copre l'80% dei casi d'uso. Per siti vetrina, blog, piccole imprese e applicazioni interne, i certificati DV gratuiti con rinnovo automatico sono la scelta corretta. I certificati OV/EV a pagamento servono solo quando la verifica dell'identità aziendale è un fattore critico di fiducia.
3. La validità a 200 giorni cambia le regole. Con rinnovi sempre più frequenti (e la prospettiva di 47 giorni entro il 2029), l'automazione via ACME non è più un lusso: è l'unica strategia sostenibile. Configurare oggi il rinnovo automatico significa essere pronti per le scadenze future.
4. L'installazione è solo metà del lavoro. Un certificato installato male (catena intermedia mancante, TLS 1.0 abilitato, mixed content, redirect HTTP assenti) è quasi inutile. La configurazione va verificata con strumenti come SSL Labs e monitorata nel tempo per evitare scadenze.

Per chi cerca un dominio con certificato SSL incluso e rinnovo automatico, o un'email professionale con crittografia TLS in transito, i servizi di Neomedia offrono soluzioni integrate con installazione guidata dal pannello di controllo.

]]>