Calcolatore Scadenza Certificato SSL
Controlla la scadenza del tuo certificato SSL
Inserisci la data di scadenza del tuo certificato SSL per verificare quanti giorni rimangono e ricevere consigli su come evitarne l'aggiornamento mancato. isrameds.com
Se hai mai inserito una carta di credito su un sito, o anche solo fatto login con la tua email, hai bisogno di sapere una cosa: HTTPS non è un optional. È il minimo indispensabile. Senza di esso, i tuoi dati sono esposti come un foglio di carta aperto in mezzo a una folla.
Immagina di mandare una lettera per posta. Se la scrivi in chiaro, chiunque la tocchi lungo il percorso può leggerla. Ora immagina di metterla in una scatola sigillata con un lucchetto che solo il destinatario può aprire. Questo è HTTPS. E il lucchetto? È l’SSL certificate.
Cos’è un certificato SSL e perché esiste?
Un certificato SSL (ora tecnicamente TLS) è un file digitale che dice al browser: “Questo sito è quello che dice di essere”. Non è un timbro di qualità, non è un premio. È un’identità verificata. Quando visiti un sito con HTTPS, il tuo browser e il server si scambiano chiavi crittografiche per creare un canale sicuro. Tutto ciò che passa lì dentro - password, numeri di carta, messaggi - diventa illeggibile per chiunque provi a intercettarlo.
Il termine “SSL” è ancora usato da tutti, ma dal 2015 è obsoleto. Il vero standard è TLS 1.2 o, meglio ancora, TLS 1.3. Quest’ultimo è più veloce e più sicuro: riduce il tempo di caricamento della pagina del 30% e blocca attacchi vecchi come BEAST e CRIME. E non c’è scelta: se il tuo sito non usa TLS 1.2 o superiore, dal marzo 2024 non puoi più raccogliere dati di carte di credito secondo PCI DSS 4.0.
Perché HTTPS è obbligatorio, anche per i blog?
Tanti pensano: “Io ho un sito semplice, non vendo niente, perché dovrei preoccuparmi?”. Falso. Anche un blog senza login è un bersaglio. Gli hacker non cercano solo dati finanziari. Cercano modi per inserire codice malevolo nei tuoi articoli. Un attacco di tipo “man-in-the-middle” può cambiare un titolo, aggiungere un link a un sito di phishing, o far partire un download automatico di malware. Google lo sa bene: dal 2018, Chrome segnala tutti i siti HTTP come “Non sicuri”. E i visitatori lo vedono. E se lo vedono, se ne vanno.
Secondo Google, nel 2023 il 94% di tutte le pagine caricate su Chrome usavano HTTPS. Solo il 6% rimane esposto. E quel 6%? È quasi tutto composto da siti piccoli, vecchi o trascurati. Non vuoi essere uno di loro.
Le tre cose che un certificato SSL fa davvero
Non è solo “cifrare”. Un certificato SSL/TLS fa tre cose fondamentali:
- Autenticazione: Dimostra che il sito è davvero quello che dice di essere. Non è un clone di PayPal, è PayPal.
- Crittografia: Tutte le informazioni che passano tra il tuo browser e il server sono trasformate in un codice impossibile da decifrare senza la chiave giusta.
- Integrità dei dati: Nessuno può modificare ciò che viene inviato. Se qualcuno prova a cambiare un numero di conto bancario durante il trasferimento, il browser lo rileva e blocca la connessione.
Questo non è un dettaglio tecnico. È la differenza tra un pagamento sicuro e un furto.
Quali tipi di certificati esistono? DV, OV, EV - cosa cambia?
Non tutti i certificati sono uguali. Ce ne sono tre tipi, con livelli diversi di verifica:
- Domain Validation (DV): Verifica solo che tu controlli il dominio. Basta rispondere a un’email o aggiungere un file al sito. Lo rilasciano in pochi minuti. Let’s Encrypt li dà gratis. Perfetto per blog, portafogli, siti statici.
- Organization Validation (OV): Verifica anche che l’azienda esista davvero. Ti chiedono documenti legali, nome, indirizzo. Serve per siti aziendali, e-commerce, banche online. Dura 1-3 giorni.
- Extended Validation (EV): Il massimo. Verifica l’azienda, la sua posizione legale, la sua attività. Un tempo mostrava la barra verde nella barra degli indirizzi. Oggi i browser non la mostrano più, ma il livello di verifica è lo stesso. Usato da banche, governi, grandi aziende. Richiede 5-7 giorni e costa tra 500 e 1.000 euro all’anno.
La crittografia? È identica in tutti e tre. La differenza è solo nella verifica dell’identità. Se sei un’azienda che gestisce dati sensibili, OV o EV ti danno fiducia in più. Se sei un blogger, DV va benissimo.
Let’s Encrypt vs. DigiCert: cosa scegliere?
Let’s Encrypt ha rivoluzionato il mercato. Dal 2016 ha rilasciato oltre 3 miliardi di certificati. Gratis. Automatizzato. Perfetto per chi non ha budget. Funziona con Certbot, che installa il certificato in meno di 5 minuti su Apache o Nginx. La maggior parte dei siti moderni lo usa.
Ma se hai un’azienda, e vuoi che i clienti sappiano che sei serio, allora DigiCert, Sectigo o GlobalSign sono migliori. Perché?
- Supporto tecnico 24/7
- Garanzie fino a 1,75 milioni di euro in caso di violazione
- Strumenti per gestire centinaia di certificati
- Validazione OV/EV più approfondita
Let’s Encrypt non offre garanzie. Non ti aiuta se il certificato scade e il tuo sito va offline. Non ti manda promemoria. DigiCert sì. E per un’azienda fintech, questo conta.
Secondo W3Techs, nel 2023 Let’s Encrypt controllava il 54,8% del mercato. Cloudflare il 18,2%. DigiCert e Sectigo insieme meno del 10%. Ma tra le aziende che gestiscono denaro, DigiCert è ancora il preferito.
Problemi comuni che fanno fallire un certificato SSL
Installare il certificato non è l’ultimo passo. È solo l’inizio. E qui cadono molti.
- Scadenza: I certificati durano massimo 398 giorni. Se non li rinnovi, il sito diventa “non sicuro” per tutti. Il 23% degli outage SSL sono dovuti a scadenze dimenticate.
- Contenuto misto: Se il tuo sito è HTTPS ma carica un’immagine da HTTP, il browser blocca quella risorsa o segnala un avviso. Controlla tutte le immagini, script, font, iframe.
- Catena di certificati incompleta: Il tuo certificato deve essere collegato a quello della CA. Se manca un certificato intermedio, su alcuni dispositivi (soprattutto Android vecchi) il sito non funziona. È un errore comune.
- Redirect non configurati: Se qualcuno digita http://tuosito.com, devi reindirizzarlo automaticamente a https://tuosito.com. Altrimenti, il sito rimane esposto.
Un utente su Hacker News raccontò che un errore di configurazione dei certificati intermedii bloccò l’accesso mobile al 12% dei suoi utenti. Ci vollero tre giorni per risolvere. Non succede a chi usa servizi gestiti come Cloudflare o cPanel con certificati automatici.
Cosa succede se non lo fai?
Se il tuo sito è in HTTP:
- Google lo penalizza nei risultati di ricerca
- Chrome lo segnala come “Non sicuro” in rosso
- Le persone non inseriscono dati, non comprano, non si registrano
- Se gestisci dati personali, rischi multe fino al 4% del fatturato secondo il GDPR
- Le banche e i gateway di pagamento ti rifiutano
Troy Hunt, uno dei più grandi esperti di sicurezza al mondo, dice: “HTTP è rotto per progettazione”. Non è una frase di marketing. È un fatto tecnico. Non c’è modo sicuro di inviare dati su HTTP. Nessuno.
Il futuro: TLS 1.3, post-quantum e l’addio al lucchetto
Il futuro è già qui. TLS 1.3 è diventato lo standard di fatto. Entro il 2027, TLS 1.2 sarà dismesso. I browser lo bloccano già su alcuni dispositivi.
E poi c’è la minaccia quantistica. I computer quantistici del futuro potrebbero decifrare le chiavi RSA attuali. Per questo NIST ha scelto CRYSTALS-Kyber come nuovo standard crittografico resistente al quantum. Cloudflare lo sta già testando su un piccolo numero di connessioni. Non devi far niente ora. Ma tra 2-3 anni, i certificati che acquisti dovranno includere questa protezione.
E il lucchetto verde nella barra degli indirizzi? Google lo rimuoverà nel 2024. Perché? Perché HTTPS non è più un “extra”. È il normale. Il futuro sarà: “Questo sito è sicuro” (HTTPS) o “Questo sito è pericoloso” (HTTP). Nessun lucchetto. Solo un avviso rosso.
Cosa devi fare ora
Se hai un sito web, fai questo:
- Verifica se il tuo sito è HTTPS. Digita https://tuosito.com. Se ti dice “Non sicuro” o se la barra degli indirizzi non ha il lucchetto, sei in pericolo.
- Se sei un piccolo sito o un blog: usa Let’s Encrypt con Certbot. È gratuito, automatico, e funziona.
- Se sei un’azienda che gestisce dati finanziari: scegli un certificato OV di DigiCert o Sectigo. Non risparmiare qui.
- Configura un redirect da HTTP a HTTPS. Tutto il traffico deve passare per HTTPS.
- Controlla che non ci siano contenuti misti. Usa lo strumento “Developer Tools” di Chrome, scheda “Console”, cerca “Mixed Content”.
- Imposta un promemoria per rinnovare il certificato 30 giorni prima della scadenza. Oppure usa un servizio che lo fa automaticamente.
Non aspettare che un cliente ti dica: “Non ho potuto pagare perché il sito diceva ‘Non sicuro’”. Non aspettare che Google ti scompaia dai risultati. Non aspettare che un hacker ti rubi i dati.
La sicurezza non è un costo. È il prezzo minimo per essere credibile.
Cosa succede se il mio certificato SSL scade?
Se il certificato scade, i browser bloccano l’accesso al tuo sito e mostrano un avviso di errore grave, come “Questo sito non è sicuro” o “Certificato non attendibile”. Gli utenti non possono proseguire senza saltare avvisi di sicurezza, e la maggior parte se ne va. Inoltre, Google penalizza il tuo sito nei risultati di ricerca. Il tuo sito diventa invisibile e inaccessibile. Rinnova il certificato prima che scada, o usa un servizio automatico che lo fa per te.
Posso usare un certificato gratuito per un sito di pagamento?
Sì, tecnicamente puoi. I certificati gratuiti di Let’s Encrypt offrono la stessa crittografia di quelli a pagamento. Ma se gestisci pagamenti, la tua azienda ha bisogno di fiducia. I clienti vedono il nome dell’azienda nel certificato OV/EV e si sentono più sicuri. I certificati a pagamento includono garanzie finanziarie (fino a 1,75 milioni di euro) e supporto tecnico immediato. Per un e-commerce, è un investimento, non un costo.
HTTPS rallenta il mio sito?
No, anzi. Con TLS 1.3, il caricamento è più veloce di prima. Il processo di handshake è più efficiente, e molti server ora usano HTTP/2 o HTTP/3, che richiedono HTTPS per funzionare. I siti HTTPS caricano in media più velocemente di quelli HTTP. La crittografia non è un peso: è un vantaggio.
Qual è la differenza tra SSL e TLS?
SSL è il vecchio protocollo, sviluppato negli anni ’90. TLS è il suo successore, più sicuro e moderno. Tutti i certificati che acquisti oggi sono TLS, anche se li chiami “SSL”. I browser non supportano più SSL 2.0 e 3.0 perché hanno gravi vulnerabilità. Usa sempre TLS 1.2 o 1.3. Non importa il nome: l’importante è che il tuo server abiliti solo TLS 1.2+.
Perché alcuni siti hanno il lucchetto e altri no?
Se il sito ha HTTPS e il certificato è valido, il browser mostra il lucchetto. Se manca il certificato, è scaduto, o è stato emesso da un’autorità non riconosciuta, il lucchetto non appare. Alcuni siti usano certificati auto-firmati (fatti da loro stessi), che i browser considerano non attendibili. Solo i certificati rilasciati da autorità certificate (CA) come Let’s Encrypt, DigiCert o Sectigo sono riconosciuti dai browser.
Jennifer Spadafora
ottobre 30, 2025 AT 14:04Se pensi che HTTPS sia solo un lucchetto verde per farti sentire al sicuro, ti stai facendo una bella fotografia con il tuo culo fuori dal water. HTTPS non è un bonus, è l’aria che respiri. Senza di esso, il tuo sito è un negozio con la vetrina aperta e il cartello ‘Rubate pure, non ho neanche un cane che mi difende’. Let’s Encrypt è gratis, funziona, e ti salva la pelle. Non perdere tempo con scuse da anni 2005.
Paolo Gaoeb
ottobre 30, 2025 AT 18:14ma nn ho soldi per il certificato 😭 e il mio sito è solo un blog di ricette… e poi mi sa che ho messo un’immagine da http e ora il lucchetto è mezzo rotto 😅 qualcuno mi aiuta? tipo con un tutorial tipo ‘per dummies’? grazie mille!! 🙏