09 Nov 2024 Sicurezza Ivan Saliani
Un certificato SSL non è più un optional: è un requisito tecnico e legale. Google penalizza i siti senza HTTPS nel ranking di ricerca, i browser mostrano avvisi di sicurezza che scoraggiano i visitatori, e il GDPR richiede la protezione dei dati in transito. Per una PMI, scegliere il certificato giusto è una decisione pratica che impatta sicurezza, costi e credibilità.
La scelta non è banale: esistono diversi tipi di certificato con livelli di validazione, copertura e costo differenti. Capire le differenze evita di spendere troppo per funzionalità non necessarie o, peggio, di sottovalutare le esigenze di sicurezza.
DV, OV ed EV: i tre livelli di validazione
I certificati DV (Domain Validated) verificano solo la proprietà del dominio. Si ottengono in pochi minuti, costano poco o nulla (Let's Encrypt li offre gratuitamente) e sono adeguati per siti vetrina, blog e landing page che non raccolgono dati sensibili.
I certificati OV (Organization Validated) richiedono la verifica dell'identità dell'organizzazione da parte dell'autorità di certificazione. Il processo richiede 1-3 giorni e il certificato mostra i dati aziendali nei dettagli. Sono consigliati per siti aziendali che raccolgono dati personali tramite form di contatto, aree riservate o portali clienti.
I certificati EV (Extended Validation) prevedono la verifica più rigorosa: documenti legali, verifica telefonica, controllo dell'autorità del richiedente. Sono indicati per e-commerce con pagamenti diretti, portali bancari e piattaforme che gestiscono dati finanziari. Il costo è più elevato, ma la fiducia trasmessa all'utente è massima.
Single domain, wildcard e multi-domain
Un certificato single domain protegge un solo dominio (es. miosito.it). È la scelta più semplice ed economica per PMI con un unico sito web senza sottodomini.
Un certificato wildcard copre il dominio principale e tutti i suoi sottodomini (es. shop.miosito.it, blog.miosito.it, app.miosito.it). Per le aziende che utilizzano sottodomini per diverse sezioni del business, un wildcard è più conveniente rispetto a più certificati singoli.
Un certificato multi-domain (SAN) protegge fino a 100 domini diversi con un unico certificato. È la soluzione ideale per aziende con più brand o più siti web, semplificando la gestione e i rinnovi.
Raccomandazioni pratiche per le PMI
Per la maggior parte delle PMI italiane, la combinazione ottimale è un certificato OV wildcard: offre un buon livello di validazione, copre eventuali sottodomini e ha un costo contenuto (50-150€/anno). Se il sito non ha sottodomini, un OV single domain è sufficiente.
Per gli e-commerce con pagamenti diretti sul sito (non tramite gateway esterni come PayPal o Stripe), un certificato EV è consigliato. Se invece i pagamenti sono gestiti da piattaforme esterne, un OV è adeguato perché i dati finanziari non transitano dal server.
Indipendentemente dal tipo scelto, è fondamentale configurare correttamente il redirect da HTTP a HTTPS, aggiornare tutti i link interni e verificare che non ci siano contenuti misti (risorse caricate via HTTP su pagine HTTPS). Un certificato installato male può causare più problemi di uno assente.
