Hai presente quel lucchetto che compare nella barra del browser, accanto all’indirizzo del tuo sito? Se non c’è, il tuo sito sta comunicando una cosa sola ai visitatori: qui non è sicuro. E Google lo sa. I browser lo segnalano. I tuoi potenziali clienti lo notano — e se ne vanno.
Il certificato SSL è diventato uno standard non negoziabile per qualsiasi sito web. Non importa se hai un e-commerce, un blog o un sito vetrina con tre pagine: senza HTTPS, stai perdendo fiducia, traffico e posizionamento.
Eppure, nonostante sia un tema fondamentale, c’è ancora molta confusione. Cos’è esattamente un certificato SSL? Che differenza c’è con TLS? Serve davvero pagare per uno a pagamento? Questa guida risponde a tutto, in modo pratico e senza tecnicismi inutili.
Cos’è un certificato SSL e perché protegge il tuo sito (e i tuoi utenti)
Un certificato SSL (Secure Sockets Layer) è un file digitale che autentica l’identità di un sito web e attiva una connessione crittografata tra il server e il browser dell’utente. In pratica, è ciò che trasforma un indirizzo da HTTP a HTTPS — dove la “S” sta per Secure.
Quando un utente visita un sito con SSL attivo, succedono tre cose invisibili ma fondamentali:
- Crittografia: i dati scambiati tra browser e server vengono cifrati. Nessuno può intercettarli durante il trasferimento — né password, né dati di pagamento, né informazioni personali.
- Autenticazione: il certificato conferma che il sito è effettivamente quello che dichiara di essere. Protegge gli utenti da siti contraffatti o attacchi man-in-the-middle.
- Integrità dei dati: garantisce che le informazioni trasmesse non vengano alterate durante il trasporto.
Secondo il Transparency Report di Google, oltre il 95% del traffico su Chrome avviene già su connessioni HTTPS. Chi non si è ancora adeguato è in netta minoranza — e in svantaggio.
SSL vs TLS: la differenza tecnica che devi conoscere (ma che non deve preoccuparti)
Se hai cercato informazioni sui certificati SSL, probabilmente ti sei imbattuto anche nel termine TLS. La distinzione è semplice: TLS (Transport Layer Security) è il successore del protocollo SSL. Il SSL originale è tecnicamente obsoleto — l’ultima versione, SSL 3.0, risale al 1996 e presenta vulnerabilità note.
Oggi tutti i certificati “SSL” usano in realtà il protocollo TLS (nella versione 1.2 o 1.3). Il nome SSL è rimasto per convenzione, un po’ come continuiamo a dire “registrare” anche se non usiamo più cassette.
Cosa significa per te? Che quando acquisti o installi un “certificato SSL”, stai già usando TLS. Non devi fare nulla di diverso. L’importante è verificare che il tuo server supporti almeno TLS 1.2 — le versioni precedenti sono considerate insicure e non più supportate dai browser principali.
Perché il certificato SSL incide direttamente sul tuo posizionamento Google
HTTPS non è solo una questione di sicurezza — è un fattore di ranking confermato da Google.
Dal 2014, Google ha dichiarato ufficialmente che l’HTTPS è un segnale di posizionamento. Nel tempo, il peso di questo segnale è cresciuto. E dal 2018, Chrome mostra l’avviso “Non sicuro” su tutti i siti HTTP — un deterrente potente per qualsiasi visitatore.
L’impatto sulla SEO è duplice:
- Ranking diretto: a parità di altri fattori, un sito HTTPS viene preferito a uno HTTP nei risultati di ricerca.
- Segnali indiretti: un sito senza SSL ha un tasso di rimbalzo più alto (gli utenti vedono l’avviso e tornano indietro), un tempo di permanenza inferiore e un CTR più basso. Tutti segnali che Google interpreta come scarsa qualità.
Se stai lavorando alla SEO del tuo sito, il certificato SSL è il primo requisito tecnico da verificare. Senza, qualsiasi altra ottimizzazione parte con un handicap.
I 3 tipi di certificato SSL: quale scegliere per il tuo sito
Non tutti i certificati SSL sono uguali. Esistono tre livelli di validazione, ciascuno con caratteristiche diverse.
1. DV — Domain Validation (Validazione del dominio)
Il più semplice e veloce. Verifica solo che tu sia il proprietario del dominio. Si ottiene in pochi minuti, spesso gratuitamente con Let’s Encrypt.
Adatto a: blog, siti vetrina, siti personali, piccole attività.
2. OV — Organization Validation (Validazione dell’organizzazione)
Oltre al dominio, verifica l’esistenza legale dell’organizzazione. Richiede documentazione e tempi più lunghi (1-3 giorni). Costo: da 50 a 200 euro l’anno.
Adatto a: aziende, siti istituzionali, portali con aree riservate.
3. EV — Extended Validation (Validazione estesa)
Il livello più alto. Prevede una verifica approfondita dell’identità aziendale. Storicamente mostrava il nome dell’azienda in verde nella barra del browser — oggi questo indicatore visivo è stato rimosso dalla maggior parte dei browser, ma il livello di verifica resta il più rigoroso. Costo: da 100 a oltre 500 euro l’anno.
Adatto a: e-commerce, banche, siti che gestiscono dati sensibili o transazioni finanziarie.
Nota sui certificati Wildcard e Multi-Domain: se gestisci più sottodomini (shop.tuosito.it, blog.tuosito.it), un certificato Wildcard copre tutti i sottodomini con un unico certificato. I certificati Multi-Domain (SAN) proteggono invece più domini diversi. Entrambi sono disponibili nei tre livelli di validazione.
Come installare un certificato SSL: guida pratica step by step
L’installazione varia in base al tuo hosting e al tipo di certificato, ma il processo segue sempre la stessa logica.
Passo 1 — Scegli il certificato
Per la maggior parte dei siti, un certificato DV gratuito è più che sufficiente. Se usi un hosting come SiteGround, Aruba o qualsiasi provider moderno, il certificato Let’s Encrypt è spesso incluso e attivabile con un clic dal pannello di controllo.
Passo 2 — Attiva il certificato dal pannello hosting
Accedi al tuo pannello di controllo (cPanel, Plesk o pannello proprietario) e cerca la sezione “SSL/TLS” o “Sicurezza”. Nella maggior parte dei casi, puoi attivare il certificato con un pulsante. Il provider si occupa di generare il CSR (Certificate Signing Request), installare il certificato e configurare il rinnovo automatico.
Passo 3 — Forza il redirect da HTTP a HTTPS
Una volta attivato il certificato, assicurati che tutte le pagine del tuo sito reindirizzino automaticamente dalla versione HTTP a quella HTTPS. Se usi WordPress, plugin come Really Simple Security gestiscono il redirect in automatico. In alternativa, puoi aggiungere una regola nel file .htaccess.
Passo 4 — Verifica e correggi i contenuti misti
Dopo il passaggio a HTTPS, controlla che non ci siano risorse (immagini, script, fogli di stile) ancora caricate in HTTP. Questi “contenuti misti” possono far comparire avvisi di sicurezza nel browser. Strumenti come Why No Padlock ti aiutano a individuarli.
Passo 5 — Aggiorna Google Search Console e Sitemap
Aggiungi la proprietà HTTPS in Google Search Console e invia la sitemap aggiornata. Questo accelera l’indicizzazione delle nuove URL.
Gli errori più comuni con il certificato SSL (e come evitarli)
Anche dopo l’installazione, ci sono errori frequenti che possono compromettere la sicurezza o la SEO del tuo sito.
Certificato scaduto. I certificati hanno una durata limitata — in genere 90 giorni per Let’s Encrypt, 1 anno per quelli a pagamento. Se il rinnovo non è automatico, il sito mostrerà un avviso di sicurezza che spaventa i visitatori. Verifica sempre che il rinnovo automatico sia attivo.
Contenuti misti (mixed content). Il sito è in HTTPS ma carica risorse in HTTP. Il browser segnala il problema e in alcuni casi blocca le risorse. Usa strumenti di scansione per individuare e correggere ogni riferimento HTTP residuo.
Redirect non configurati. Se le versioni HTTP e HTTPS del sito coesistono senza redirect, rischi contenuti duplicati e confusione per i motori di ricerca. Configura un redirect 301 permanente da HTTP a HTTPS.
Catena di certificati incompleta. Alcuni server richiedono l’installazione manuale dei certificati intermedi. Se mancano, il browser potrebbe non riconoscere il certificato come valido. Verifica la catena con SSL Labs Server Test — è gratuito e ti dà un report dettagliato.
Hostname mismatch. Il certificato è stato emesso per un dominio diverso da quello del sito (ad esempio per www.tuosito.it ma non per tuosito.it senza www). Assicurati che il certificato copra tutte le varianti del dominio che usi.
Sicurezza del sito web oltre il certificato SSL: cosa serve in più
Il certificato SSL è il primo livello di protezione, non l’unico. Una sicurezza sito web completa richiede interventi aggiuntivi.
Aggiornamenti costanti. Se usi WordPress o un altro CMS, mantieni sempre aggiornati il core, i temi e i plugin. Le vulnerabilità non patchate sono il vettore di attacco più comune per i siti delle PMI, secondo il report Sucuri 2024.
Backup regolari. Un backup automatico e testato è la tua rete di sicurezza. In caso di attacco, puoi ripristinare il sito in poche ore anziché ricostruirlo da zero.
Firewall applicativo (WAF). Un Web Application Firewall filtra il traffico malevolo prima che raggiunga il tuo server. Soluzioni come Cloudflare (con piano gratuito) o Sucuri offrono protezione efficace senza competenze tecniche avanzate.
Autenticazione a due fattori (2FA). Attivala per l’accesso al pannello di amministrazione del sito. Riduce drasticamente il rischio di accessi non autorizzati, anche in caso di password compromessa.
Se la sicurezza digitale della tua azienda è una priorità — e nel 2026 dovrebbe esserlo — un approccio strutturato è più efficace di interventi isolati. In Holistika aiutiamo le aziende a costruire una presenza online sicura e performante, partendo proprio dalle fondamenta tecniche. Se vuoi capire dove il tuo sito è vulnerabile, parliamone.
FAQ
Cos’è un certificato SSL in parole semplici?
È un file digitale che attiva la crittografia tra il tuo sito web e il browser dei visitatori. Protegge i dati scambiati (password, dati personali, pagamenti) da intercettazioni e garantisce che il sito sia autentico. È ciò che trasforma l’indirizzo del sito da HTTP a HTTPS e fa comparire il lucchetto nella barra del browser.
Il certificato SSL è obbligatorio?
Non esiste un obbligo di legge universale, ma è di fatto indispensabile. Dal 2018, Chrome e gli altri browser segnalano come “Non sicuro” qualsiasi sito senza HTTPS. Google lo considera un fattore di ranking. E se il tuo sito raccoglie dati personali, il GDPR richiede misure tecniche adeguate alla protezione dei dati — e l’SSL è la misura minima.
Quanto costa un certificato SSL?
Da zero a oltre 500 euro l’anno, in base al tipo. I certificati DV di Let’s Encrypt sono gratuiti e sufficienti per la maggior parte dei siti. I certificati OV costano tra 50 e 200 euro l’anno. Gli EV, destinati a e-commerce e siti con transazioni finanziarie, partono da 100 euro e possono superare i 500 euro l’anno.
Che differenza c’è tra SSL e TLS?
TLS è il successore del protocollo SSL. Il SSL originale è obsoleto dal 1996 — oggi tutti i “certificati SSL” usano il protocollo TLS (versione 1.2 o 1.3). Il nome SSL è rimasto per convenzione. Quando acquisti un certificato SSL, stai già usando TLS.
Come verifico se il mio sito ha un certificato SSL valido?
Il modo più rapido è visitare il tuo sito e controllare la barra del browser: se c’è un lucchetto e l’indirizzo inizia con “https://”, il certificato è attivo. Per un’analisi più approfondita, usa il test gratuito di SSL Labs (ssllabs.com/ssltest): ti mostra il tipo di certificato, la versione TLS, la scadenza e eventuali problemi di configurazione.
