Sicurezza 12 aprile 2026 · Milan Cák · 7 min čítania

Certificato SSL: guida completa per il sito aziendale

Certificato SSL/TLS per il sito aziendale — tipi (DV, OV, EV, Wildcard), scelta, installazione, monitoraggio della scadenza, Let's Encrypt vs CA commerciali.

Súčasť série: Sicurezza informatica aziendale: guida completa per le PMI europee

In sintesi: Il certificato SSL/TLS cifra la comunicazione tra browser e sito web (HTTPS). Nel 2026 è obbligatorio per ogni sito aziendale serio — senza di esso i browser mostrano avvisi e Google penalizza nel ranking. Per il 95% delle aziende è sufficiente il free Let’s Encrypt con rinnovo automatico ogni 60 giorni. I certificati a pagamento (OV, EV, Wildcard) hanno senso solo per casi d’uso specifici (banche, e-commerce ad alto volume, aziende con molti sottodomini).

Il certificato SSL era 10 anni fa un lusso facoltativo, oggi è il minimo obbligatorio. Questo articolo spiega i tipi, la scelta e l’implementazione pratica per il titolare d’azienda.

Per il contesto più ampio della difesa informatica vedi il pillar Sicurezza informatica dei dati aziendali. Per il glossario /it/glossario/ssl.

Cos’è SSL/TLS

SSL (Secure Sockets Layer) è il protocollo originale del 1995 per le connessioni internet cifrate. TLS (Transport Layer Security) è la sua versione moderna (TLS 1.0 del 1999, oggi nel 2026 il minimo è TLS 1.3).

In pratica i termini SSL e TLS vengono usati in modo intercambiabile — quando si parla di “certificato SSL”, si intende un certificato TLS. “SSL” è rimasto come termine di marketing.

Tre funzioni

Crittografia — la comunicazione tra browser e server è cifrata. Un attaccante nel mezzo (ad esempio su un Wi-Fi in un bar) non vede i dati trasmessi — password, moduli, cookie.
Integrità — un hash crittografico garantisce che l’attaccante non possa modificare il contenuto durante il transito (ad es. iniettare pubblicità o malware in un sito legittimo).
Autenticazione — il certificato conferma che il server è effettivamente quello che dice di essere. Senza di esso un attaccante potrebbe creare un falso miabank.it e reindirizzare i visitatori lì.

HTTPS = HTTP + TLS

HTTPS (HTTP Secure) è il protocollo HTTP in esecuzione su TLS. Nella barra degli indirizzi del browser si vede il lucchetto e https:// invece di http://.

Nel 2026 ogni sito serio usa HTTPS. I siti solo HTTP:

I browser mostrano l’avviso “Non sicuro”
Google penalizza nel ranking
Alcune API e integrazioni falliscono
I cookie non possono essere impostati come sicuri

Tipi di certificati SSL

Tre categorie in base al livello di validazione:

Domain Validation (DV)

Il più semplice — la Certificate Authority (CA) verifica solo che il richiedente possiede il dominio (tramite record DNS o file sul server). Non si occupa dell’identità dell’azienda.

Costo: Gratuito (Let’s Encrypt) o 5–30 EUR/anno
Validazione: Automatizzata, dura minuti
Adatto per: Siti di marketing, blog, pagine informali

Organization Validation (OV)

La CA verifica anche l’identità dell’azienda (iscrizione al registro imprese, telefonata, documenti).

Costo: 50–200 EUR/anno
Validazione: 1–3 giorni
Adatto per: Siti B2B dove il cliente apprezza la verifica dell’azienda

Extended Validation (EV)

La validazione più rigorosa — la CA verifica l’azienda tramite verifica approfondita (documentazione legale dettagliata, ecc.).

Costo: 100–500 EUR/anno
Validazione: 1–2 settimane
Adatto per: Banche, istituzioni finanziarie, grandi e-commerce

Nel 2026 i certificati EV sono meno visibili — i browser moderni non mostrano più il nome dell’azienda nell’indirizzo (il pannello verde del passato). L’EV ha perso la maggior parte del vantaggio UX, rimane solo come segnale legale.

Tipi speciali

Certificato Wildcard

Copre tutti i sottodomini di un dominio: *.modulario.com copre www.modulario.com, app.modulario.com, api.modulario.com ecc.

Costo: 50–300 EUR/anno. Alternativa: Let’s Encrypt + automazione DNS-01 challenge (configurazione più complessa, ma gratuita).

Multi-Domain (SAN)

Un certificato per più domini diversi (azienda1.it + azienda2.it + azienda3.it).

Costo: 50–500 EUR/anno in base al numero di domini.

Code Signing

Non è per il web — si usa per firmare pacchetti software (.exe, .msi, driver). Senza certificato di code signing Windows mostra “Editore sconosciuto” all’installazione.

Let’s Encrypt: gratuito e scelta pratica

Let’s Encrypt è una Certificate Authority non-profit avviata nel 2016 (ISRG, sponsorizzata da EFF, Mozilla, Cisco e altri). Emette certificati DV gratuiti con validità di 90 giorni + rinnovo automatico.

Nel 2026 emette più del 50% di tutti i certificati SSL nel mondo.

Vantaggi

Gratuito — indipendentemente dal numero di domini
Automatizzato — lo strumento Certbot rinnova i certificati automaticamente
Ampio supporto — tutti i browser riconoscono Let’s Encrypt
Nessun compromesso nella crittografia — stesso TLS 1.3 dei certificati a pagamento

Limitazioni

Solo DV (nessun OV né EV)
Validità di 90 giorni (deve essere rinnovato ogni 60 giorni)
Senza “telefono di supporto” — basato su community

Installazione

Per la maggior parte degli hosting (inclusi Aruba, Register.it, Netsons) Let’s Encrypt è disponibile nel pannello amministrativo con un clic. Per server propri tramite Certbot:

sudo certbot --nginx -d azienda.it -d www.azienda.it

Auto-renewal tramite systemd timer o cron — configurato una volta, funziona per anni.

Implementazione SSL per il sito aziendale

Passo 1: Dominio

Il dominio deve essere registrato. Per l’Italia .it tramite il registro Registro.it (tramite registrar come Aruba, Register.it, OVH). Costo: 10–30 EUR/anno.

Passo 2: Hosting o server

L’hosting (cloud SaaS, VPS, dedicated) deve supportare HTTPS. Tutti gli hosting moderni nel 2026 sì.

Passo 3: DNS configurato

Record A di azienda.it punta all’IP del server, AAAA per IPv6.

Passo 4: Certificato

Pannello hosting (Aruba, Register.it): clic “Attiva SSL” — Let’s Encrypt automaticamente
Server proprio: installazione Certbot
Cloud (AWS, Azure): certificate manager, a volte gratuito, a volte parte del load balancer

Passo 5: Force HTTPS

Il sito deve reindirizzare http://azienda.it verso https://azienda.it. In Apache .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Per Nginx o cloud load balancer configurazione equivalente.

Passo 6: HSTS

HSTS (HTTP Strict Transport Security) forza HTTPS anche al primo accesso. Header:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Passo 7: Test

Testare tramite SSL Labs Server Test. Obiettivo: voto A o A+.

Monitoraggio della scadenza

L’errore più comune: il certificato scade e nessuno se ne accorge → il sito smette di funzionare in modo affidabile.

Soluzioni:

Let’s Encrypt + Certbot auto-renewal — automatico, nessun passo manuale
Uptime Robot, Pingdom — alert 30 giorni prima della scadenza
Site24x7, StatusCake — monitoraggio più ampio incluso SSL
Cron personalizzato con parsing openssl s_client -connect azienda.it:443

Per Modulario il monitoraggio SSL è parte dell’infrastruttura complessiva. Il cliente non ha mai problemi con SSL scaduto sul dominio principale.

TLS 1.3 e standard moderni

Nel 2026 TLS 1.3 è il minimo. Versioni precedenti:

TLS 1.0 e 1.1 — deprecati dal 2020, vietati
TLS 1.2 — ancora supportato per client legacy, ma non il default
TLS 1.3 — default, più veloce, più sicuro

La configurazione del server dovrebbe:

Forzare TLS 1.2 come minimo (idealmente 1.3)
Disabilitare i cipher deboli (RC4, DES, 3DES)
Avere OCSP stapling
Supportare HTTP/2 e HTTP/3 (QUIC)

Il test di SSL Labs rivela tutti i problemi.

Domande frequenti

A cosa serve un certificato SSL? Il certificato SSL/TLS garantisce la comunicazione cifrata tra il browser del visitatore e il tuo web server (HTTPS invece di HTTP). Tre funzioni: (1) crittografia — nessuno “nel mezzo” può intercettare i dati (password, moduli), (2) integrità — l’attaccante non può modificare il contenuto durante il transito, (3) autenticazione — il visitatore sa di comunicare con il server corretto, non con uno fraudolento. Senza SSL i browser mostrano l’avviso “Non sicuro”, che distrugge la credibilità dell’azienda.

È sufficiente il free SSL di Let’s Encrypt o ho bisogno di uno a pagamento? Per il 95% dei siti aziendali Let’s Encrypt è sufficiente — gratuito, rinnovabile automaticamente, tecnicamente identico in termini di crittografia. Quello a pagamento ha senso solo per: (1) EV per banche / e-commerce ad alto volume, (2) Wildcard per molti sottodomini, (3) OV per aziende B2B dove il cliente verifica l’identità legale. Per il titolare di PMI, Let’s Encrypt + auto-renewal tramite Certbot è la soluzione ottimale.

Cosa succede quando scade un certificato SSL? I browser mostrano un avviso aggressivo “La tua connessione non è privata” e la maggior parte dei visitatori abbandona la pagina. Per un’azienda B2B significa perdita di credibilità, interruzione della lead generation e potenziale perdita di affari. Alcune applicazioni (banking, M365) smettono di comunicare con un server il cui certificato è scaduto. Soluzione: monitoraggio della scadenza (Uptime Robot, Pingdom, o Certbot auto-renewal) — alert 30 giorni prima della scadenza.

Milan Cák

Modulario

📚 Pillar článok

Sicurezza informatica aziendale: guida completa per le PMI europee

Guida pratica alla cybersecurity per le PMI europee — virus, ransomware, phishing, 2FA, SSL, VPN, backup e incident response. Passi concreti, non teoria astratta.

Prečítať komplet →

Často kladené otázky

A cosa serve un certificato SSL?

Il certificato SSL/TLS garantisce la comunicazione cifrata tra il browser del visitatore e il tuo web server (HTTPS invece di HTTP). Tre funzioni: (1) crittografia — nessuno 'nel mezzo' può intercettare i dati (password, moduli), (2) integrità — l'attaccante non può modificare il contenuto durante il transito, (3) autenticazione — il visitatore sa di comunicare con il server corretto, non con uno fraudolento. Senza SSL i browser mostrano l'avviso 'Non sicuro', che distrugge la credibilità dell'azienda.

È sufficiente il free SSL di Let's Encrypt o ho bisogno di uno a pagamento?

Per il 95% dei siti aziendali Let's Encrypt è sufficiente — gratuito, rinnovabile automaticamente, tecnicamente identico ai certificati a pagamento in termini di crittografia. Quello a pagamento ha senso solo per: (1) certificato Extended Validation (EV) per banche / e-commerce ad alto volume — mostra il nome dell'azienda nell'indirizzo, (2) Wildcard per molti sottodomini (più economico di Let's Encrypt con automazione), (3) Organization Validation (OV) per aziende B2B dove il cliente verifica l'identità legale. Per il titolare di una PMI, Let's Encrypt + auto-renewal tramite Certbot è la soluzione ottimale.

Cosa succede quando scade un certificato SSL?

I browser mostrano un avviso aggressivo 'La tua connessione non è privata' e la maggior parte dei visitatori abbandona la pagina. Per un'azienda B2B significa perdita di credibilità, interruzione della lead generation e potenziale perdita di affari. Alcune applicazioni (banking, M365) smettono di comunicare con un server il cui certificato è scaduto. Soluzione: monitoraggio della scadenza (Uptime Robot, Pingdom, o Certbot auto-renewal) — alert 30 giorni prima della scadenza.