SSL Check: Verifica Completa del Certificato SSL/TLS del Tuo Sito

HTTPS e certificati SSL: perché sono fondamentali

HTTPS non è più un optional: dal 2018 Chrome segna come "Non sicuro" tutti i siti HTTP, Google penalizza i siti senza HTTPS nel ranking, e le API moderne richiedono connessioni sicure. Alla base di HTTPS c'è il certificato SSL/TLS, un documento digitale che lega l'identità di un dominio a una chiave crittografica pubblica. Quando un browser si connette a un sito HTTPS, verifica il certificato per assicurarsi di comunicare con il server legittimo e non con un impostore (man-in-the-middle).

Un certificato SSL mal configurato causa errori nel browser che allontanano i visitatori, compromette la SEO, e può esporre i dati degli utenti. I problemi più comuni includono: certificato scaduto, catena di certificazione incompleta, hostname non corrispondente, protocolli TLS obsoleti e cipher suite deboli. Il nostro SSL Check verifica tutti questi aspetti in pochi secondi, fornendo un grade complessivo e raccomandazioni specifiche per ogni problema trovato.

Cosa verifica l'SSL Check

$ ssl-check --target esempio.com

[Grade]     A+
[Subject]   esempio.com
[Issuer]    Let's Encrypt Authority X3
[Protocol]  TLS 1.3
[Cipher]    TLS_AES_256_GCM_SHA384
[Key Size]  2048 bit RSA
[Valid]     2026-01-15 → 2026-04-15
[Days Left] 41 days
[Chain]     3 certificati (leaf → intermediate → root)
[SAN]       esempio.com, www.esempio.com, api.esempio.com

Il grade va da A+ (configurazione ottimale) a F (problemi critici). Un grade A richiede: TLS 1.2+ con cipher sicuri, certificato valido con catena completa, chiave di almeno 2048 bit, e HSTS attivo. Per ottenere A+ serve anche HSTS preload. Grade B indica cipher accettabili ma non ottimali. C o inferiore significa TLS 1.0/1.1 attivo o cipher deboli — da correggere urgentemente. Verifica anche gli header di sicurezza HTTP con Security Headers per un quadro completo.

La catena di certificazione

Un certificato SSL non funziona da solo: è parte di una catena di fiducia. Il certificato del tuo sito (leaf) è firmato da una CA intermedia, che a sua volta è firmata da una root CA presente nel trust store del browser. Se la catena è incompleta (manca un certificato intermedio), alcuni browser mostrano errori mentre altri no (perché scaricano automaticamente gli intermedi mancanti). Per una verifica approfondita della catena, usa Certificate Chain che visualizza ogni anello e identifica problemi.

Per controllare chi è autorizzato a emettere certificati per il tuo dominio, configura i record CAA e verificali con CAA Record Lookup. I record CAA sono il meccanismo DNS che limita quali Certificate Authority possono emettere certificati, aggiungendo un livello di protezione contro l'emissione non autorizzata.

Rinnovo e automazione

I certificati Let's Encrypt durano 90 giorni, quelli commerciali tipicamente 1 anno. Il rinnovo tardivo è la causa più comune di errori SSL in produzione. La soluzione è l'automazione: certbot e altri client ACME rinnovano automaticamente i certificati Let's Encrypt. Per certificati commerciali, imposta promemoria almeno 30 giorni prima della scadenza. Monitora la scadenza dei tuoi certificati regolarmente con l'SSL Check — un certificato che scade senza preavviso è un incidente prevenibile.

Quando rinnovi un certificato, verifica che il nuovo certificato copra tutti i SAN (Subject Alternative Names) necessari. Un errore frequente è rinnovare il certificato per esempio.com dimenticando www.esempio.com o api.esempio.com. Dopo il rinnovo, testa immediatamente con l'SSL Check per confermare che il nuovo certificato sia servito correttamente, la catena sia completa e il grade sia invariato.