Strumenti diagnostici di rete

Verifica certificato SSL

Esamina il certificato TLS e la scadenza di un sito

Che cos'è un certificato SSL?

Il certificato TLS di un sito ne dimostra l'identità e cifra il traffico tra il browser e il server. Un certificato scaduto, autofirmato o con nome non corrispondente compromette la fiducia e fa scattare avvisi del browser che allontanano i visitatori. IPeek si connette direttamente all'host, legge il certificato live e ne riporta l'emittente, la finestra di validità, i giorni rimanenti, i nomi che copre e gli eventuali problemi rilevati.

Come un certificato TLS dimostra l'identità

Durante l'handshake TLS il server presenta un certificato firmato da una Certificate Authority attendibile. Il browser verifica che il nome del certificato corrisponda all'hostname, che la catena di firma porti a una radice che ritiene attendibile e che la data corrente rientri nella finestra di validità. Se tutti e tre i controlli passano, la connessione è cifrata e compare il lucchetto. "SSL" è il nome comune che molti usano ancora, ma il protocollo effettivo è TLS da anni. IPeek esegue lo stesso handshake e poi riporta ciò che il server ha restituito, invece di limitarsi a mostrare un lucchetto.

Come interpretare i risultati del certificato

Parti dai giorni rimanenti: qualsiasi valore sotto 30 significa rinnovare presto, e un valore negativo significa che il certificato è già scaduto e i visitatori vedono già gli avvisi. Controlla l'emittente per confermare che sia una CA reale e non un segnaposto autofirmato. L'elenco Subject Alternative Name (SAN) mostra ogni hostname coperto dal certificato, quindi un certificato per example.com che omette www.example.com fallirà su quella variante. Infine, verifica che la catena sia completa; un certificato intermedio mancante è valido in alcuni client ma si rompe in altri.

Problemi comuni dei certificati e come risolverli

Il guasto più frequente è la semplice scadenza, risolta rinnovando e ricaricando il web server. Una mancata corrispondenza del nome significa che l'hostname non è nell'elenco SAN, quindi riemetti con i nomi corretti o aggiungi un wildcard. Gli errori "autofirmato" o "emittente non attendibile" significano che la catena del certificato non raggiunge una radice attendibile, di solito perché il certificato intermedio non è stato installato insieme a quello finale. Dopo qualsiasi correzione, ricontrolla con IPeek per confermare che il certificato live servito sulla rete corrisponda a ciò che intendevi, dato che i certificati obsoleti spesso restano nei load balancer e nelle CDN.

Quando ti serve un controllo del certificato SSL

Esegui un controllo prima del lancio e ogni volta che migri l'hosting, cambi CDN o ruoti i certificati, perché sono i momenti in cui compaiono mancate corrispondenze e catene incomplete. Imposta un promemoria prima della data di scadenza, soprattutto per i certificati non in rinnovo automatico. È anche il modo più rapido per diagnosticare un visitatore che segnala un avviso di sicurezza del browser: il controllo ti dice immediatamente se il problema è la scadenza, una mancata corrispondenza del nome o una catena interrotta, così puoi agire invece di tirare a indovinare.

Domande frequenti

Qual è la differenza tra SSL e TLS?

Si riferiscono allo stesso compito, ma TLS è il protocollo attuale. SSL era lo standard di cifratura originale; è stato sostituito da TLS, e ogni moderno "certificato SSL" usa in realtà TLS. Il nome SSL è rimasto perché familiare, quindi strumenti e fornitori dicono ancora SSL mentre la connessione stessa negozia TLS 1.2 o 1.3.

Come faccio a sapere quando scade il mio certificato SSL?

Controlla la finestra di validità del certificato, che ha una data "not after" fissa. IPeek legge il certificato live e riporta i giorni rimanenti, così vedi a colpo d'occhio se è ancora valido. Rinnova prima di quella data; i certificati emessi da Let's Encrypt durano 90 giorni, mentre quelli commerciali spesso durano un anno.

Perché il mio browser dice che il certificato non è attendibile?

Un avviso di non attendibilità di solito significa che la catena di firma non raggiunge una radice riconosciuta dal browser. Le cause comuni sono un certificato autofirmato, un certificato intermedio mancante o un certificato scaduto. Installa la catena completa (finale più intermedi) sul server, oppure riemetti da una CA attendibile, poi ricontrolla che il certificato servito si convalidi correttamente.

Cosa sono i nomi SAN su un certificato?

I Subject Alternative Name sono l'elenco di hostname per cui un singolo certificato è valido. Un certificato è attendibile solo per i nomi nel suo elenco SAN, quindi example.com e www.example.com devono comparire entrambi, altrimenti una variante genererà un errore di mancata corrispondenza del nome. Le voci wildcard come *.example.com coprono tutti i sottodomini di un livello.

Posso controllare un certificato senza visitare il sito?

Sì. IPeek si connette direttamente all'host tramite TLS, legge il certificato presentato dal server e riporta emittente, date, nomi SAN e catena senza che tu apra il sito in un browser. È utile per controllare un host prima del lancio, dietro un reindirizzamento, o quando hai solo il dominio e vuoi verificare che serva un certificato valido.

Strumenti correlati

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어