Errori SSL/TLS: cosa significano e come risolverli?
Gli errori SSL/TLS sono tra i problemi tecnici più comuni affrontati dai proprietari di siti e dagli amministratori di server. Il browser visualizza un avviso di sicurezza quando il certificato SSL non è valido, è scaduto o è configurato in modo errato. Un tale errore scoraggerà efficacemente gli utenti e può influenzare negativamente il posizionamento del sito nei risultati di ricerca.
Vuoi verificare il certificato SSL del tuo sito?
Controlla il certificato SSLCome funziona un certificato SSL/TLS?
Un certificato SSL/TLS è un documento digitale che conferma l'identità del server e consente la crittografia della connessione. Viene emesso da autorità di certificazione fidate (CA — Certificate Authority). Il browser verifica il certificato ad ogni connessione HTTPS — controlla se è valido, se non è scaduto e se proviene da una CA fidata.
Gli errori SSL/TLS più comuni
Un certificato SSL ha una data di scadenza. Al termine di essa, il browser visualizza un errore e blocca l'accesso al sito. I certificati Let's Encrypt sono validi per 90 giorni, quelli commerciali solitamente per 1 anno.
Rinnova il certificato SSL. Con Let's Encrypt, configura il rinnovo automatico tramite certbot (certbot renew --dry-run). Imposta il monitoraggio della data di scadenza — il nostro checker SSL invia avvisi.
Il certificato è stato emesso da una CA che il browser non riconosce come fidata. Potrebbe trattarsi di un certificato self-signed (autofirmato) o di un certificato di una CA non presente nell'archivio dei certificati attendibili del browser.
- Certificato self-signed — utilizzato in ambienti di sviluppo
- Certificati intermedi mancanti
- Certificato di una CA che ha perso l'affidabilità (es. Symantec nel 2018)
In produzione, utilizza un certificato di una CA fidata (Let's Encrypt, DigiCert, Sectigo). Verifica che la catena di certificati sia completa — il server deve inviare il certificato principale + tutti i certificati intermedi.
Il certificato è stato emesso per un dominio diverso da quello a cui stai cercando di connetterti. Il browser confronta il dominio nel certificato (campo CN o SAN) con l'indirizzo nella barra degli indirizzi.
- Certificato emesso per example.com ma il sito funziona sotto www.example.com
- Voce mancante per il sottodominio nel campo SAN (Subject Alternative Names)
- Certificato per un altro dominio installato sul server (errore di configurazione vhost)
Quando emetti un certificato, assicurati che copra tutte le varianti del dominio: example.com e www.example.com. I certificati wildcard (*.example.com) coprono tutti i sottodomini di un singolo livello.
Il browser e il server non riescono a concordare una versione comune del protocollo TLS o un set di cifrari. Può anche significare che il server sta inviando dati HTTP anziché HTTPS.
- Il server supporta solo protocolli obsoleti TLS 1.0/1.1 (ritirati nel 2020)
- La porta 443 restituisce traffico HTTP anziché HTTPS
- Errata configurazione nginx/Apache — mancanza della direttiva ssl on
Configura il server per supportare TLS 1.2 e TLS 1.3. Controlla la configurazione del vhost — assicurati che la porta 443 abbia l'SSL abilitato. Usa lo strumento SSL Labs per l'audit della configurazione.
Il sito è disponibile tramite HTTPS, ma carica risorse (immagini, script, stili) tramite HTTP non crittografato. Il browser blocca le risorse attive (JS, CSS) e visualizza un avviso per quelle passive (immagini).
Sostituisci tutti i riferimenti http:// con https:// o usa il protocollo relativo //. In WordPress usa il plugin Really Simple SSL. Aggiungi l'header Content-Security-Policy: upgrade-insecure-requests.
Il server reindirizza all'infinito tra HTTP e HTTPS. Spesso deriva da un'errata configurazione del reindirizzamento quando dietro il server c'è un load balancer o una CDN che termina l'SSL.
Controlla la configurazione del reindirizzamento in .htaccess o nginx. Se usi Cloudflare — imposta la modalità SSL su 'Full (strict)'. In WordPress controlla le opzioni dell'indirizzo URL nelle impostazioni.
Tipi di certificati SSL
I certificati SSL differiscono per il livello di verifica dell'identità del proprietario e per l'ambito della protezione.
| Tipo | Verifica | Tempo di emissione | Utilizzo |
|---|---|---|---|
| DV | Validazione del Dominio | Minuti — ore | Blog, siti personali, piccoli negozi |
| OV | Validazione dell'Organizzazione | 1-3 giorni | Siti aziendali, portali B2B |
| EV | Validazione Estesa | 1-2 settimane | Banche, istituzioni finanziarie |
| Wildcard | Validazione Sottodomini | Minuti — ore | Più sottodomini di un unico dominio |
| Multi-SAN | Domini Multipli | Minuti — giorni | Più domini diversi su un unico certificato |
Per la maggior parte dei siti web, il certificato DV di Let's Encrypt è sufficiente e completamente gratuito. Let's Encrypt emette certificati automaticamente e gestisce il rinnovo automatico ogni 90 giorni.