← Torna al blog Sicurezza

Un Certificato SSL Non Basta: Di Cosa Ha Davvero Bisogno il Vostro Sito

Envestis Team 14 min di lettura

Chiedete a qualsiasi imprenditore se il suo sito web e sicuro, e la risposta piu comune e: "Si, abbiamo il certificato SSL. C'e il lucchetto nel browser." Questa risposta rivela un equivoco diffuso su cosa SSL/TLS fa realmente e, piu importante, cosa non fa.

Un certificato SSL e un pezzo di un puzzle di sicurezza. Un pezzo importante, certamente. Ma se la vostra unica misura di sicurezza e il certificato SSL, il vostro sito non e sicuro. E come chiudere a chiave la porta di casa lasciando tutte le finestre aperte.

Cosa Protegge Realmente SSL/TLS

SSL e il suo successore TLS forniscono una cosa: cifratura dei dati in transito tra il browser del visitatore e il vostro server web. Quando qualcuno visita il vostro sito HTTPS, i dati che invia e riceve sono cifrati durante la trasmissione. Chiunque intercetti il traffico vede dati cifrati illeggibili.

Questo e il significato dell'icona del lucchetto. La connessione tra browser e server e cifrata. I dati sono protetti mentre si spostano.

Specificamente, SSL/TLS Protegge Da:

  • Intercettazione: Qualcuno sulla stessa rete non puo leggere i dati scambiati.
  • Attacchi man-in-the-middle (in transito): Un attaccante non puo inserirsi tra browser e server per leggere o modificare i dati.
  • Manomissione dei dati in transito: La connessione cifrata include controlli di integrita.

Cosa SSL/TLS Non Protegge

La Vostra Applicazione Web

Se il vostro sito ha una vulnerabilita SQL injection in un modulo di contatto, SSL non aiuta. L'input malevolo dell'attaccante viene cifrato in transito esattamente come l'input legittimo. Arriva al server, viene decifrato, e l'SQL injection si esegue. La cifratura ha protetto il payload dell'attacco durante la trasmissione.

La Configurazione del Server

Porte aperte, credenziali predefinite, pannelli admin esposti, permessi mal configurati. SSL non aiuta.

Il CMS e i Suoi Plugin

Se state eseguendo un WordPress obsoleto con plugin vulnerabili, SSL non aiuta. L'attaccante sfrutta la vulnerabilita del plugin attraverso una connessione HTTPS.

I Dati a Riposo

SSL protegge i dati in transito. Non dice nulla sui dati a riposo. Se il database memorizza informazioni dei clienti non cifrate e un attaccante ottiene accesso, legge i dati in chiaro.

Il Phishing

Gli attaccanti possono (e lo fanno) ottenere certificati SSL per siti di phishing. Il lucchetto appare nel browser anche per domini di phishing. Let's Encrypt rilascia certificati DV gratuiti a chiunque controlli un dominio, senza verifica dell'identita.

Contenuto Misto: Quando HTTPS Non e Davvero HTTPS

Il contenuto misto si verifica quando una pagina HTTPS carica alcune risorse tramite HTTP. Questo mina parzialmente la protezione HTTPS. I browser moderni bloccano il contenuto attivo misto (script) ma possono ancora caricare il contenuto passivo (immagini) mostrando un avviso.

Usate gli strumenti per sviluppatori del browser (F12 > Console) per trovare avvisi di contenuto misto.

HSTS: Rendere HTTPS Obbligatorio

Anche con un certificato SSL valido, c'e un gap: la prima visita potrebbe avvenire tramite HTTP. HSTS chiude questo gap dicendo al browser di usare sempre HTTPS.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

HSTS Preloading

Il preloading HSTS elimina anche la debolezza della prima visita aggiungendo il vostro dominio a una lista integrata nei browser. Inviate il dominio su hstspreload.org.

Per una guida dettagliata all'implementazione, vedete il nostro articolo sugli header di sicurezza HTTP che il vostro sito web necessita.

Errori di Configurazione SSL/TLS Comuni

Certificati Scaduti

Quando un certificato scade, i browser mostrano un avviso a pagina intera che spaventa ogni visitatore. Il rinnovo automatico dovrebbe essere configurato.

Catena di Certificati Incompleta

Il server deve inviare non solo il proprio certificato ma anche i certificati intermedi. Se mancano, alcuni browser mostreranno un avviso.

TLS 1.0 e 1.1 Ancora Abilitati

TLS 1.0 e 1.1 hanno vulnerabilita note e sono deprecati. Il server dovrebbe supportare solo TLS 1.2 e TLS 1.3.

Suite di Cifratura Deboli

Se il server offre suite di cifratura deboli (RC4, DES, 3DES), un attaccante puo forzare la connessione a usarle.

Come Testare la Configurazione SSL

  • SSL Labs Server Test (ssllabs.com/ssltest/): Testa la configurazione SSL/TLS e assegna un voto da A+ a F.
  • Security Headers (securityheaders.com): Verifica HSTS e altri header di sicurezza.

Lo Stack di Sicurezza Completo per un Sito Web Aziendale

LivelloCosa ProteggeTecnologie
Cifratura trasportoDati in transitoCertificato SSL/TLS, HSTS, configurazione TLS corretta
Protezione reteServer da attacchi di reteFirewall, protezione DDoS, filtraggio IP
Firewall applicativoApplicazione web da attacchiWAF, rate limiting
Header di sicurezzaComportamento del browserCSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy
Validazione inputApplicazione da attacchi injectionValidazione lato server, query parametrizzate, codifica output
Controllo accessiAree adminAutenticazione forte, MFA, restrizione IP
Aggiornamenti softwareContro vulnerabilita notePatching regolare di CMS, plugin, PHP/Node.js
Backup e ripristinoContro la perdita di datiBackup automatici, ripristini testati, storage offsite
MonitoraggioRilevamento precoceMonitoraggio integrita file, uptime, analisi log, Google Search Console

Ogni livello affronta una diversa categoria di minacce. Nessun singolo livello e sufficiente da solo. Un certificato SSL copre la prima riga. Le altre otto righe sono quelle che mancano alla maggior parte dei siti web aziendali.

Cosa Dovrebbe Fornire la Vostra Web Agency

  • Certificato SSL/TLS valido con rinnovo automatico
  • Header HSTS configurato
  • Solo TLS 1.2 e 1.3
  • Nessun contenuto misto
  • Header di sicurezza (CSP, X-Frame-Options, ecc.)
  • Validazione input lato server su tutti i moduli
  • Protezione pannello admin
  • Aggiornamenti di sicurezza automatici per il core del CMS
  • Programma backup regolare

Cosa Dovreste Fare Ora

  1. Testate la configurazione SSL. Eseguite ssllabs.com/ssltest/ sul vostro dominio.
  2. Verificate il contenuto misto. Aprite la console del browser (F12) e cercate avvisi.
  3. Verificate che HSTS sia abilitato.
  4. Valutate il resto dello stack di sicurezza. SSL e solo l'inizio.
  5. Richiedete una valutazione professionale. Contattate il nostro team a Lugano per un assessment completo della sicurezza del vostro sito web.

L'icona del lucchetto significa che la connessione e cifrata. Non significa che il sito web sia sicuro. Capire la differenza e il primo passo verso una sicurezza reale.

Vuoi sapere se il tuo sito è sicuro?

Richiedi un audit di sicurezza gratuito. In 48 ore ricevi un report completo.

Richiedi Audit Gratuito

Articoli Correlati

Sicurezza

Vulnerabilita di WordPress nel 2025: Perche il Tuo Sito e Ancora a Rischio

WordPress alimenta oltre il 40% del web, ma la sua popolarita lo rende il bersaglio principale per gli attaccanti. Analizziamo le classi di vulnerabilita piu comuni, CVE reali dell'ultimo anno e passaggi concreti per rafforzare la tua installazione.

· 18 min di lettura
Sicurezza

SPF, DKIM e DMARC: Proteggi la Tua Azienda dallo Spoofing Email

Lo spoofing email costa alle aziende miliardi ogni anno tramite frodi BEC e phishing. SPF, DKIM e DMARC sono tre protocolli che, configurati correttamente, rendono quasi impossibile impersonare il tuo dominio.

· 15 min di lettura
Sicurezza

Pagine Admin Esposte: Un Regalo per gli Hacker

Le vostre pagine /wp-admin, /admin o /login sono visibili a tutto internet. I bot le stanno scansionando proprio ora. Il CAPTCHA da solo non vi salvera. Ecco come gli attaccanti sfruttano i pannelli admin esposti e cosa dovreste fare.

· 13 min di lettura

Contatto Rapido