Avere un certificato digitale è fondamentale per qualsiasi ecommerce.
Lo scopo principale di un certificato digitale è garantire la sicurezza della comunicazione tra l’e-commerce e il browser del navigatore: con un certificato digitale, infatti, viene creata una connessione cifrata che è inattaccabile e garantisce che tutti i dati scambiati (anche quelli della carta di credito) non possano essere intercettati da terzi malintenzionati.
I certificati digitali sono di tanti tipi e hanno costi molto variabili: a volte dipende semplicemente da chi li emette, altre volte dipende dalle funzionalità che offrono. Quando ti trovi a dover scegliere tra un certificato digitale che costa 30 Euro ed uno che ne costa 300, 700 o addirittura di più, come fai a decidere? Qual è la differenza? Non sempre la si comprende subito, non sempre al primo colpo almeno.
Avere un certificato digitale installato sul proprio ecommerce è sia un requisito normativo che un requisito tecnico informatico.
Ai sensi del GDPR, infatti, noi, come titolari del trattamento dei dati, abbiamo l’obbligo di tutelare la sicurezza dei dati dei nostri visitatori e dei nostri clienti.
Se vogliamo accettare pagamenti con carta di credito (ed è inutile dire che vogliamo accettarli, vero?), avere un certificato digitale è un requisito imprescindibile per permettere al nostro ecommerce di comunicare con il gateway di pagamento: alcuni, senza un certificato digitale, non funzionano proprio.
A cosa serve un certificato digitale
I certificati digitali svolgono due funzioni principali:
- Creano una connessione cifrata, sicura e protetta tra il server che ospita il nostro ecommerce e il computer di chi lo naviga;
- Certificano la nostra identità.
I siti di commercio elettronico, e in generale tutti quelli che fanno capo ad un’attività imprenditoriale, riportano a fondo pagina i recapiti e i dati identificativi dell’esercente come la partita IVA, la ditta o la ragione sociale, numero di telefono, email, indirizzo della sede, ecc.
Ma chi garantisce che queste informazioni siano vere? In altre parole chi mi assicura che il vero sito di eBay è www.ebay.com e non www.e-bay.com? Chi mi assicura che il vero sito di Facebook sia www.facebook.com e non www.face-book.com? Chi mi assicura che il sito della mia banca sia quello che sto visitando e non un altro? È una truffa vera e propria e si chiama phishing.
E chi garantisce che i dati che sto comunicando ad un sito non siano intercettati da un terzo malintenzionato che si è frapposto tra il mio computer e il sito? Questo è un tipo di attacco conosciuto e che ha un nome ben preciso: “Man in the middle“, “Uomo in mezzo”. Un cracker si frappone fra il mio computer ed il sito, intercetta le nostre comunicazioni, ne legge il contenuto e ne fa ciò che vuole!
Un certificato digitale serve proprio a scongiurare (o, quantomeno, a limitare enormemente) questo tipo di problematiche: esso, quando previsto, garantisce sia l’identità del soggetto titolare del sito (contro il phishing), sia la sicurezza del canale utilizzato dal commerciante online per ricevere i dati dei propri clienti (contro gli attacchi Man in the middle).
Certificati digitali e GDPR: sono obbligatori?
Alla luce di quanto detto, viene da sé che implementare un certificato digitale sul proprio ecommerce si può considerare un vero e proprio obbligo giuridico ai sensi della normativa per la protezione dei dati personali: come titolari del trattamento, infatti, siamo obbligati ad adottare tutte le misure tecniche idonee a proteggere i dati con cui veniamo in contatto e che trattiamo.
Certificati digitali e SEO: aiutano il posizionamento?
I certificati digitali sono un segnale di ranking importantissimo: Google ha cominciato a usarli per il calcolo del ranking nel 2014 e dal 2018 ne ha sancito l’obbligatorietà de facto ai fini di un buon posizionamento.
L’assenza di un certificato digitale impatta sul ranking in due modi:
- Come segnale diretto di qualità: se non c’è, Google assegna un ranking inferiore;
- Come segnale indiretto di qualità: Google Chrome allerta i visitatori che stanno per navigare un sito non protetto. I navigatori, di conseguenza, tendono ad assumere comportamenti che inviano ulteriori segnali negativi all’algoritmo.
Dove si comprano i certificati digitali
I certificati digitali sono venduti dalle certification authority, degli enti, pubblici o privati, che emettono certificati digitali.
È possibile acquistare un certificato digitale anche direttamente presso il proprio hosting provider: esso, però, sarà un semplice rivenditore dal momento che il certificato digitale vero e proprio sarà comunque emesso da una certification authority.
Le certification authority garantiscono la validità dei certificati digitali che emettono e, qualora il certificato digitale fosse di tipo extended validation, si preoccupano anche di verificare che i dati del titolare del certificato digitale siano autentici.
Quanto costa un certificato digitale
I prezzi oscillano dai classici 20-30 Euro agli oltre 1000 Euro dei certificati più blasonati e diffusi che garantiscono una sicurezza maggiore e maggiore fiducia del consumatore/utente nei tuoi confronti.
Da qualche anno è possibile anche usare un certificato digitale completamente gratuito emesso da Let’s Encrypt, un’autorità di certificazione “libera, automatizzata e gratuita” che è diventata lo standard de-facto quando si parla di certificati digitali “entry level”.
Quando ci orientiamo su certificati digitali più avanzati, come gli extended validation o i wildcard, invece, i costi possono lievitare notevolmente.
I certificati digitali più avanzati, infatti, richiedono anche l’uso di un indirizzo IP dedicato, che già di per se stesso è un costo ulteriore.
In più, per poter avere un indirizzo IP dedicato, dobbiamo necessariamente avere un server dedicato e un server dedicato può arrivare a costare anche parecchie centinaia di Euro al mese.
Scegliere il certificato digitale giusto
Per scegliere il certificato digitale devi capire queste cose:
- Che tipo di certificato digitale ti serve;
- Il livello di cifratura;
- Quali funzionalità accessorie deve possedere;
- Da quale certification authority vuoi fartelo emettere.
Che tipo di certificato digitale ti serve
Esistono molti tipi di certificato digitale, ma a noi, per il nostro e-commerce, ne serve uno di uno specifico tipo: un server certificate.
Un server certificate identifica il tuo server ed il nome a dominio del tuo sito.
Non ti serve nessun altro tipo di certificato digitale per il tuo e-commerce.
Il livello di cifratura
La funzione primaria di un certificato digitale è proteggere la comunicazione tra server e client, quindi tra il tuo ecommerce e il browser dei tuoi clienti.
Per proteggere la connessione, essa viene cifrata con algoritmi di cifratura molto avanzati.
Questi algoritmi di cifratura possono avere livelli diversi e essi si misurano in bit: maggiore è il livello di cifratura, maggiore è la robustezza della cifratura e quindi la sua sicurezza.
Inutile dire che maggiore è il livello di cifratura maggiore sarà la sicurezza e maggiore sarà il costo del certificato.
Inutile dire qual è il livello minimo di bit che deve supportare il certificato digitale che intendi scegliere: l’evoluzione tecnologica è molto molto veloce e ciò che valeva qualche anno fa oggi non vale più.
Per esempio, nel 2009 era sufficiente avere un certificato digitale a 768 bit: nel 2010 non era più sufficiente perché quel livello di sicurezza fu craccato proprio in quell’anno.
Che funzionalità deve possedere il certificato digitale
Le due funzionalità accessorie principali che un certificato digitale può possedere sono:
- Wildcard certification;
- Extended validation.
Wildcard validation
Un certificato digitale wildcard permette di usare un solo certificato per cifrare anche tutti i domini di terzo livello.
Quando “compriamo” un dominio lo compriamo di secondo livello: example.com. Il “.com” è il dominio di primo livello o Top Level Domain; “example” è il dominio di secondo livello: quello per cui noi paghiamo.
Se il nostro ecommerce è raggiungibile dal dominio www.example.com, allora “www” è il dominio di terzo livello.
Ora, alcune volte uno stesso sito usa più domini di terzo livello, per esempio usa www.example.com e app.example.com: per ciascun di essi è necessario un certificato digitale apposito.
Con un certificato digitale “wildcard”, invece, ne basta uno solo. È ovvio che un certificato digitale wildcard costa di più.
Quindi, se il tuo ecommerce è raggiungibile solo dal dominio di terzo livello www.example.com, allora non ti serve un certificato digitale di tipo wildcard.
Extended validation
L’extended validation consiste in una verifica ulteriore che la certification authority conduce sull’autenticità dei dati del titolare del certificato digitale.
Questi controlli richiedono un impegno maggiore da parte della Certification Authority che dovrà andare a verificare le informazioni che le fornirai e dovrà andare a cercarsene altre presso le pubbliche amministrazioni ed i pubblici registri. A fronte di questo suo maggiore impegno la Certification Authority richiede anche a te un maggiore impegno in termini economici: un certificato digitale di tipo extended validation costa di più.
Da un punto di vista tecnico informatico, le informazioni verificate accompagnano il certificato digitale e vengono mostrate dai browser nei dettagli del certificato digitale.
Fino al 2019, i browser evidenziavano la differenza tra certificati digitali con extended validation e senza extended validation mostrando ulteriori dettagli nella barra degli indirizzi ed evidenziandola in verde.
Dal 2019, prima Google, poi Mozilla e poi tutti gli altri browser, hanno eliminato del tutto ogni distinzione e quindi oggi è impossibile riconoscere a colpo d’occhio se un certificato sia o meno con extended validation.
Di fatto, moltissime autorità di certificazione scrivono sulle proprie pagine commerciali che questa differenza ancora esiste, ma in realtà essa è stata praticamente annullata.
Sulle pagine commerciali dei certificati digitali extended validation viene riportato anche un vantaggio in termini di SEO, ma pure questo è abbastanza discutibile dal momento che il posizionamento sui motori di ricerca, specialmente su Google, è deciso da centinaia di fattori (letteralmente centinaia) e l’impatto di un certificato digitale extended validation è comunque marginale.
Di fatto, quindi, a meno che tu non abbia un’azienda molto grande con buoni flussi economici, puoi fare a meno di un certificato di questo tipo.
Sigillo di sicurezza
Alcune certification authority permettono di mostrare un sigillo di sicurezza sull’ecommerce.
Usare dei sigilli di questo tipo aumenta la sicurezza percepita dai navigatori e quindi la fiducia indotta dal tuo ecommerce.
Alcuni certificati digitali includono gratuitamente questo tipo di sigilli, altre, invece, li includono solo nei piani più costosi.
Alcuni sigilli, poi, sono statici, consistendo semplicemente in un’immagine che punta a una pagina sul sito dell’autorità di certificazione, altri sono dinamici, nel senso che al click mostrano ulteriori informazioni direttamente nella pagina del sito per cui sono emessi.
Considerando che la funzione principale di un certificato digitale è di garantire la sicurezza delle comunicazioni tra cliente e ecommerce, la domanda spontanea è: “non posso crearmelo da solo questo certificato digitale?”.
Se hai un po’ di esperienza informatica, sai che usare un certificato digitale autogenerato è il sistema più sicuro per accedere a sistemi informatici dedicati agli sviluppatori (come GitHub, per esempio). Ebbene, non si potrebbe fare la stessa cosa anche per il certificato digitale del nostro e-commerce?
La risposta secca è: no.
E non lo si può fare perchè quel certificato così generato non offrirebbe alcuna garanzia circa la sua autenticità.
Il discorso è tecnico e se vuoi approfondirlo ti rimando al lemma “Certificato digitale” nella nostra enciclopedia dell’e-commerce.
Per ora, ci basti sapere che non possiamo creare un certificato digitale da soli. E se non possiamo crearlo da soli, allora dobbiamo affidarci a un’autorità di certificazione.
Quindi, dobbiamo scegliere una certification authority.
La certification authority, quando emette un certificato digitale, lo firma con la propria chiave privata.
Il browser, con la corrispondente chiave pubblica, è poi in grado di verificare l’autenticità del certificato digitale.
Questo meccanismo garantisce la tua identità ed impedisce a terzi malintenzionati (cracker) di manometterlo rendendolo inutile (leggi il lemma “Certificato digitale” per capire come funziona il sistema delle chiavi asimmetriche).
Per poter funzionare, la chiave pubblica della certification authority deve essere presente nel browser: se il browser non ha la chiave pubblica della certification authority, allora non sarà in grado di usare il certificato digitale e mostrerà un allerta al navigatore.
Le chiavi di non tutte le Certification Authority, infatti, sono preinstallate nei browser. Certamente lo sono quelle delle Certification Authority maggiormente conosciute e rinomate.
La rinomanza della Certification Authority, inoltre, fa si che i tuoi utenti ne riconoscano il bollino di sicurezza apposto sul tuo sito (quando previsto) e questo di per sé li indurrà a riporre in te maggiore fiducia.
Questo è il parametro principale che devi tenere in considerazione quando scegli la certification authority.
Conformità agli standard di settore
Questo aspetto andava menzionato per completezza, ma non mi aspetto certo che tu sia in grado di verificare a fondo da solo questo punto molto tecnico.
Ad ogni modo, le autorità di certificazione devono rispettare degli standard.
Questi standard sono stabiliti da varie “autorità” quali la CPA (Chartered Professional Accountants) o lo European Telecommunications Standards Institute.
Essi attestano che la certification authority rispetta standard qualitativi in ordine a confidenzialità, autenticità, integrità e non-ripudio.
Il rispetto di questi standard è verificato annualmente e a ogni verifica l’ente certificatore rilascia un punteggio.
Il risultato del controllo annuale è pubblicato sul sito della certification authority (non necessariamente sul sito dell’ente certificatore – CPA o ETSI).
Cercando sul sito della certification authority, quindi, puoi capire se sono “accreditati” presso questi enti o non lo sono.
Un piccolo trucco potrebbe essere di cercare su Google “[Nome della certification authority] webtrust”.
Supporto
Il livello di supporto offerto dalla certification authority è importante in caso di problemi.
Se acquisti il certificato digitale presso un rivenditore (come il tuo hosting provider), puoi tralasciare questo aspetto. In caso contrario, devi assicurarti che il supporto clienti sia di ottima qualità.
Alcune certification authority garantiscono un supporto clienti continuativo, 24/24h e 7 giorni su 7.
Pratiche di verifica
Questo vale soprattutto quando devi acquistare un certificato digitale extended validation: devi assicurarti che le procedure di verifica prima di emetterlo siano stringenti.
Potrebbe essere una seccatura sottoporsi a un controllo così rigido, ma è proprio la rigidità del controllo che rende una certification authority più affidabile di un’altra.
Alcuni controlli che dovrebbero essere presenti sono:
- Verifica dell’identità;
- Verifica del possesso del dominio e effettivo controllo sullo stesso;
- Verifica dei dipendenti che effettivamente richiedono il certificato digitale per conto dell’azienda.
Sistema di gestione dei certificati
Questo aspetto vale per configurazioni un po’ più avanzate e organizzazioni più grandi, che hanno più domini e quindi più certificati.
Devi assicurarti che il sistema di gestione dei certificati digitali che ti mette a disposizione la certification authority sia funzionale e che ti permetta di svolgere operazioni quali il rinnovo e la revoca dei certificati.
Inoltre è molto utile anche la presenza di ulteriori funzionalità e strumenti, quali:
- Supporto all’installazione sul server;
- Scansione periodica dell’ecommerce;
- Verifica dei certificati installati.
Conclusioni
Un certificato digitale serve a rendere sicura la comunicazione tra ecommerce e cliente.
I certificati digitali extended validation avevano un senso fino al 2019, quando garantivano che i browser riconoscessero la maggiore rigidità del controllo previsto da questo tipo di certificato.
Oggi pare abbiano molto meno senso.
Una Certification Authority è una sorta di notaio di Internet che si assume la responsabilità di garantire l’identità dei propri clienti e di fornire loro uno strumento per proteggere le loro comunicazioni e garantire i terzi circa la propria identità e buona fede.
Quando scegli un certificato digitale devi prestare attenzione a due cose in particolare:
- Il livello di cifratura;
- L’affidabilità della certification authority.
Esistono anche dei certificati digitali affidabili e ciononostante completamente gratuiti: il migliore e il più utilizzato è Let’s Encrypt.
Qualunque sia la tua scelta, l’importante è che tu la faccia: un ecommerce senza un certificato digitale non è affidabile e non è serio.
Ricorda che è possibile configurare la presenza di un certificato digitale sull’ecommerce anche come un obbligo ai sensi della normativa a tutela dei dati personali.
Ora sei pronto per cominciare la ricerca del certificato digitale per il tuo e-commerce!
10 risposte
Cioa,
Complimenti per l’articolo, ma non sono completamente d’accordo con i tuoi costi sommersi.. per esempio se compri un server virtuali su aruba puoi installare il tuo certificato a costi bassissimi.. qualche centinaio di euro.
Poi i fattori che influenzano il costo del certificato sono anche altri ;)….
ciao
Ma se fai e-commerce e compri l’hosting su Aruba sei già fuori strada 😉
In ogni caso avresti potuto anche inserire il tuo nome e la tua email. I commenti anonimi non fanno proprio piacere!
Buongiorno articolo molto interessante, sto leggendo molto sulla questione e mi sto interessando, onestamente ho diversi siti ospitati su aruba e devo dire che mi trovo molto bene, ma ora ho necessità di realizzare un e-commerce di un tour operator e navigo un po’ nel buoi.. quello che ho capito è che avrei bisogno di un VPS o server dedicato, ma che per risparmiare “basterebbe” -forse- un piano hosting con un ip statico(dedicato) e l’installazione di un protocollo ssl.. ora leggendo il suo commento e non avendo particolare conoscenza dei passaggi, mi piacerebbe avere un consiglio o suggerimento se possibile, visto che mi sento “fuori strada” 🙂
Ciao Paolo,
il punto è proprio quello dell’IP: ne serve uno statico perché il certificato sia di una qualche utilità pratica.
I prezzi oggi sono decisamente diversi da quelli del 2010 (quando ho scritto questo articolo), e anche ottenere un IP statico è più facile.
Per un consiglio… sicuramente il primo è di cambiare hosting provider e di affidarti a qualcuno che offra servizi di fascia almeno media.
A quel punto è possibile anche trovare offerte più convenienti, che magari includano l’IP e il certificato.
Certamente non parliamo delle poche decine di euro annuali che chiede Aruba. Ma in fin dei conti parliamo di un e-commerce.
In ogni caso l’argomento è vasto e si collega ad altri aspetti relativi anche all’affidabilità e alla fiducia ispirata nell’utente.
Non so se ho contribuito, almeno in parte, a chiarirti le idee, ma la domanda che mi hai fatto è molto generica!
Però, in ogni caso, sono qui se ne hai altre! 🙂
Ciao, quali sono i tempi per ottenere un certificato? Noi ne abbiamo richiesto uno, è già una settimana che attendiamo e ancora nulla, possibile sono così lunghi? forse dovremmo provare a telefonare per chiedere cosa succede? tu che ne sai sull’argomento tempistica? grazie , bell’articolo.
Eh eh, dipende… Immagino che dipenda dalla società a cui lo hai richiesto, dal tipo di certificato che hai richiesto e da una marea di altre cose. La verità? Non ne ho idea 🙂
Quindi… credo di si, la cosa migliore sarebbe contattare direttamente l’azienda presso cui lo hai acquistato…
Grazie per il commento e in bocca al lupo!
Ciao Aerendir, articolo interessante. So che sconsigli vivamente Aruba, e da developer, so che non e’ la soluzione migliore, ma il budget a mia disposizione e’ basso. Volevo chiederti 2 cose. Innanzitutto, sai se con Aruba e’ possibile installare certificati terzi? Tra i certificati di fascia medio/bassa, sapresti consigliarmene qualcuno? Sto dando un’occhiata a RapidSSL e GeoTrust (fosse per me andrei di verysign, ma come ti dicevo, il budget e’ basso) ma sinceramente e’ la prima volta che mi si pone il problema.
Grazie mille.
Filippo
Ciao Filippo, e già, sconsiglio vivamente Aruba: semplicemente io non so gestirlo. Non ha un pannello di controllo degno di questo nome, acquistare un nuovo servizio o fare un semplice upgrade al piano può rivelarsi una cosa complicatissima, l’assistenza è come se non esistesse. Insomma, qualunque sia il tuo budget, io ti consiglio di incrementarlo per l’hosting, anche perchè alla fine parliamo di una differenza di poche decine di euro all’anno (un hosting condiviso migliore di aruba lo trovi anche a 60/70/100 euro). Ovviamente non intendo entrare nel merito delle tue scelte, lo scrivo solo per spiegare meglio a chi dovesse leggere i motivi che mi spigono a dire quello che dico di Aruba.
Detto questo, ovviamente non ho idea del se sia possibile o meno installare un certificato di terzi su Aruba: spero di si, ma credo di no (ma, ripeto, non uso Aruba e quindi in realtà non ho nessuna certezza in merito).
Venendo alla domanda vera, quale certificato ti consiglio, posso dirti che molto dipende dal motivo che ti spinge a installare un certificato.
Se hai semplicemente bisogno di rendere sicura la connessione, allora non mi preoccuperei più di tanto della certification authority.
Se invece vuoi usarlo anche per indurre maggiore fiducia nei visitatori, purtroppo la certification authority conta e il costo sale.
Quindi, uno in particolare non posso consigliartelo. Ti posso invitare, però, a valutare attentamente i motivi che ti spingono a sostenerne la spesa: magari con gli stessi soldi puoi fare altro e ottenere i medesimi risultati. Ma ti ripeto, così, al buio, è difficile darti consigli più concreti.
Ciao Aerendir, compliments per la conoscenza dell’argomento; Ti pongo questa domanda…Ho un sito aziendale, ma non faccio ne ho intenzione di fare ecommerce, il cliente deve venire a vedere, anzi a toccare con mano il prodotto, non tratto telefoni cellulari, ma porte e portoni vecchi ed antichi restaurati ed il loro restauro, ne chiedo di fare il login ai visitatori, ne di compilare moduli di contatto. La certificazione mi serve per rispondere all’esigenza di Google che pretende e pretenderà che il mio sito sia sicuro e mi …obbliga ad usare l’SSL altrimenti affigge una scritta rossa con scritto SITO NON SICURO senza contare l’inserimento nell’algoritmo per la Seo. Cosa mi consigli? Il certificato…minimo in quanto a costo, può andare bene oppure sceglieresti comunque qualcosa che ha caratteristiche migliori e relativa maggiore spesa? Ti ringrazio e mi scuso per essermi accodato ed averTi rubato altro tempo, un saluto Vittorio Tortora
Ciao Vittorio, ti rispondo in ordine:
1) Il fatto che tu non intenda vendere on-line non significa che devi limitarti a un sito vetrina: esistono tante tattiche (da inserire in una più ampia strategia) per far si che il tuo sito vetrina diventi uno strumento utilissimo per ottenere contatti di persone potenzialmente interessate alle tue porte e ai tuoi portoni restaurati. Giusto perchè tu ne sia a conoscenza! 😛
2) Google non mostra la pagina di allerta semplicemente perché non c’è il certificato digitale: quell’avviso compare solo su siti che Google reputa essere pericolosi. Prendi un qualunque sito senza certificato digitale: compare in Google e Google non avvisa nessuno. In caso di assenza di certificato digitale semplicemente nei browser non compare alcuna evidenziazione verde (lucchetto, nome dell’azienda, ecc., a seconda del tipo di certificato digitale). Quindi, se per il tuo sito compare l’avviso di allerta il problema è più grave e un certificato digitale non è la soluzione. Io comincerei contattando l’hosting provider e cercando di capire cosa sta succedendo.
3) È vero, Google premia i siti che hanno un certificato digitale, ma tieni presente che questo è solo uno degli innumerevoli indici che Google usa per decidere chi mostrare prima e chi mostrare dopo. Voglio dire, non ti aspettare di schizzare in prima posizione dopo aver messo il certificato (per quali parole chiave, poi? Ci vuole una strategia di SEO per migliorare il posizionamento sui motori di ricerca!).
Spero di esserti stato utile, in bocca al lupo e… Chiama l’hosting provider per capire che succede sul tuo sito! A presto!