Quando usare un Certificato SSL
SSL (Secure Sockets Layer) è il nome del protocollo usato per stabilire comunicazioni sicure tra un server e un client. Evita l’intercettazione, la manomissione e la falsificazione dei dati come password, dati personali e numeri di carte di credito.
Anche se il protocollo usato oggi è TLS (Transport Layer Security), si continua a usare il termine "SSL" per riferirsi alla tecnologia di sicurezza su Internet, di cui TLS è l'evoluzione.
Usalo per ottenere una navigazione sicura in cui i dati sono protetti, installa sul sito web un idoneo Certificato SSL Server rilasciato da una terza parte fidata, ovvero la CA (Certification Authority).
Tutti i Certificati SSL rilasciati da Actalis di tipo DV, OV, EV sono coperti da Warranty.
Tipi di Certificati SSL
Ci sono 4 tipi di Certificati SSL:
- DV (Domain Validation)
- OV (Organization Validation)
- EV (Extended Validation)
- QWAC (Qualified Website Authentication Certificate)
Le tipologie di Certificato SSL sono diverse in base alle tipologie di validazione, ognuna con propri livelli di verifica.
Certificato SSL DV
Convalida la proprietà o il controllo del dominio da parte del richiedente. Il Certificato SSL DV contiene il common name del dominio.
Può essere rilasciato in modalità:
- Dominio singolo (Single Host): valido per un solo nome a dominio come nomedominio.estensione.
- 1 sito e tutti i sottodomini (Wildcard): valido per un nome a dominio come nomedominio.estensione e tutti i suoi sottodomini, di solito indicati come *.nomedominio.estensione. Per esempio shop.nomeazienda.com oppure area.nomeazienda.com.
- Fino a 5 domini (SAN): valido per un massimo 5 nomi a dominio differenti come nomedominio.estensione. Per esempio nomeazienda.com oppure nomeazienda.it.
Certificato SSL OV
Prevede gli stessi controlli del Certificato DV, oltre alla verifica della società titolare del dominio. Il Certificato SSL OV contiene anche informazioni sull'organizzazione del richiedente.
Può essere rilasciato in modalità:
- Dominio singolo (Single Host): valido per un solo nome a dominio come nomedominio.estensione.
- 1 sito e tutti i sottodomini (Wildcard): valido per un nome a dominio come nomedominio.estensione e tutti i suoi sottodomini, di solito indicati come *.nomedominio.estensione. Per esempio shop.nomeazienda.com oppure area.nomeazienda.com.
- Fino a 5 domini (SAN): valido per un massimo 5 nomi a dominio differenti come nomedominio.estensione. Per esempio nomeazienda.com oppure nomeazienda.it.
Certificato SSL EV
È il certificato con il massimo livello di affidabilità. Oltre alle verifiche fatte per l’OV, la CA fa controlli più approfonditi, per esempio, verificare che la richiesta provenga da una persona autorizzata a rappresentare l'organizzazione.
Può essere rilasciato in modalità:
- Dominio singolo (Single Host): valido per un solo nome a dominio come nomedominio.estensione.
- Fino a 5 domini (SAN): valido per un massimo 5 nomi a dominio differenti come nomedominio.estensione.
Per esempio nomeazienda.com oppure nomeazienda.it.
Certificato SSL QWAC
È un certificato digitale qualificato di tipo SSL, rilasciato secondo lo standard dei servizi fiduciari definiti nel Regolamento eIDAS dell'Unione Europea. Come il Certificato SSL EV, non può essere emesso per persone fisiche.
Può essere rilasciato in modalità:
- Dominio singolo (Single Host): valido per un solo nome a dominio come nomedominio.estensione.
- Fino a 5 domini (SAN): valido per un massimo 5 nomi a dominio differenti come nomedominio.estensione. Per esempio nomeazienda.com oppure nomeazienda.it.
Certificato QWAC PSD2
Il QWAC PSD2 è un certificato qualificato conforme eIDAS e ai requisiti RTS PSD2 che identifica in modo certo il server web di un operatore autorizzato del settore dei pagamenti. È quindi simile a un normale certificato SSL/TLS Server, ma attesta anche lo status di Prestatore di Servizi di Pagamento (PSP) del soggetto titolare.
Il certificato include gli attributi PSD2 che identificano:
- il soggetto regolamentato;
- l'autorità di vigilanza;
- il ruolo del Card Issuer (CISP);
- il ruolo PSD2 (AISP / PISP / ASPSP).
Per tutti i dettagli consulta la guida dedicata.
Modifica alle emissioni di certificati SSL con Client Authentication (mTLS)
A partire dal 15/6/2026, non sarà più possibile emettere certificati SSL che consentono anche la client authentication.
Questo significa che il certificato SSL installato sul server non potrà essere usato per autenticarsi verso un altro server con client authentication (concetto noto anche come mutual TLS / mTLS).
Il mutual TLS è usato principalmente nelle comunicazioni machine-to-machine (per esempio nei circuiti di pagamento), ma non è richiesto nella normale navigazione web tramite browser o app mobile.
Affinché il mutual TLS sia possibile, il certificato SSL usato dalla parte client deve includere il valore clientAuth nel campo ExtendedKeyUsage; dopo la data indicata, questo non sarà più possibile per i certificati SSL Server, pertanto è necessario dotarsi di certificati separati per tale esigenza.
Casi Applicativi
| CASO | DESCRIZIONE | PRODOTTO CONSIGLIATO |
|---|---|---|
|
Certificato SSL con clientAuth e non trusted |
Se hai bisogno di un certificato con clientAuth senza la necessità che sia trusted per i browser è sufficiente un certificato SSL Client. |
SSL Client |
|
Certificato SSL con clientAuth e trusted |
Questa possibilità per i certificati SSL server è disponibile solo fino al 15 giugno 2026. Dopo tale data, lo stesso requisito potrà essere soddisfatto esclusivamente tramite certificati S/MIME che includono anche clientAuth. |
S/MIME |
|
Certificato SSL Server con clientAuth emesso da CA qualificata eIDAS |
In particolari contesti può essere necessario un certificato SSL Server che includa anche clientAuth e che sia emesso da una CA Qualificata eIDAS, presente nella EU Trust List. |
SSL Server QWAC |
|
Certificato di autenticazione conforme alle specifiche CNS |
Se hai bisogno di un certificato conforme alle specifiche CNS (carta nazionale dei servizi) contatta la nostra assistenza. |
Validità dei certificati SSL e QWAC trusted
A partire dal 15 marzo 2026, entrerà in vigore una nuova regola del CAB Forum che riduce la durata dei certificati a circa 6 mesi (184 giorni).
Questo cambiamento è pensato per aumentare la sicurezza del web e richiede una strategia di gestione più automatizzata dei certificati.
In particolare:
- dal 15 marzo 2026 in poi, i certificati emessi o rinnovati avranno una validità massima di 184 giorni: questo significa che se hai acquistato un certificato di un anno, trascorsi sei mesi dall'attivazione, ti continuiamo a garantire la copertura annuale richiesta senza costi aggiuntivi, mettendoti a disposizione nella tua area clienti un secondo certificato da attivare.
- i certificati rilasciati prima del 15 marzo 2026 non perderanno validità: manterranno la durata originaria fino alla normale scadenza.
Di seguito la timeline riepilogativa della validità di un certificato:
- 0 - 168 giorni: il certificato è valido e attivo;
- 169 - 184 giorni: in area clienti troverai due certificati:
- l'attuale in scadenza;
- il nuovo da attivare:
- in questi 16 giorni è essenziale attivare il secondo certificato per essere coperto per i successivi mesi;
- dopo 184 giorni: se non hai attivato in tempo il secondo certificato, rischi di perdere la continuità della copertura annuale ma potrai attivare il secondo certificato per essere coperto per i mesi successivi;
- rinnovo anticipato: se rinnovi entro i 184 giorni i giorni residui vengono aggiunti al nuovo certificato, ad esempio: certificato rinnovato al giorno 169 > durata = 184 + 16 giorni.
Consiglio: poiché con la nuova regola la gestione manuale dei certificati può risultare poco pratica, ti consigliamo di utilizzare strumenti automatici come ACME per gestire l'automazione dei rinnovi ed evitare rischi di scadenze non gestite e interruzioni di servizi.
Se, tuttavia, preferisci la gestione manuale, è di fondamentale importanza attivare il secondo certificato tra il 169° e il 184° giorno dall'attivazione.
Validazione del dominio: dal 15 marzo, la validazione del dominio ha una durata di 200 giorni:
- se la validazione è ancora valida, viene riutilizzata;
- se è scaduta, sarà necessario ripeterla seguendo gli step indicati sul sito.
Per ulteriori dettagli consulta le FAQ.
del tuo browser, disattiva e ricarica la pagina. In alternativa, verifica la connessione o prova a ricaricare la pagina.