Hero Generator

Verifica SSL

Verifica i dettagli del certificato SSL
Attendi mentre controlliamo la validità, la sicurezza e la configurazione...

L’SSL checker qui sopra esegue una diagnostica completa su qualsiasi certificato SSL/TLS pubblico e restituisce un report dettagliato che include il rating di sicurezza, la catena di certificati, le cipher suite, la scansione delle vulnerabilità e la compatibilità con i browser. Le sezioni seguenti spiegano come interpretare ogni parte del report.

Comprendere il rating di sicurezza SSL

Ogni scansione dell’SSL checker produce un voto in lettere da A+ fino a F, accompagnato da un punteggio numerico su 100.

  • Un voto A o A+ significa che il certificato è installato correttamente, utilizza una crittografia moderna e il server ha le funzionalità di sicurezza appropriate attivate.
  • I certificati con voto B sono funzionanti ma indicano margini di miglioramento nella configurazione di sicurezza.
  • Il voto C e inferiori segnalano generalmente una versione TLS deprecata, una funzionalità di sicurezza mancante o un certificato prossimo alla scadenza.

Il punteggio è ponderato su cinque categorie:

  • Certificato (validità e algoritmo)
  • Attendibilità (Certificate Authority riconosciuta e integrità della catena)
  • Protocollo (versioni TLS supportate, protocolli deprecati disabilitati)
  • Funzionalità (HSTS, OCSP Stapling, Perfect Forward Secrecy, CAA)
  • Validità (tempo rimanente prima della scadenza)

La maggior parte dei cali di rating proviene dalla categoria Funzionalità. Il certificato funziona, la catena è corretta, il protocollo è aggiornato, ma HSTS non è configurato o un record CAA non è pubblicato. Si tratta di correzioni lato server e lato DNS, non di problemi del certificato.


Leggere i dettagli del certificato

L’SSL checker analizza ogni certificato nella catena campo per campo.

Common Name — il dominio principale per cui il certificato è stato emesso. Deve corrispondere all’URL verificato, altrimenti il browser rifiuta la connessione.

Issued By — l’intermedio emittente e la Certificate Authority principale. Nomi riconosciuti come Sectigo, DigiCert, GeoTrust o Google Trust Services sono considerati attendibili automaticamente. Emittenti sconosciuti o qualsiasi certificato “self-signed” genereranno un avviso.

Valid From / Valid To — la finestra di validità del certificato. Valid From è più importante di quanto si pensi: se l’orologio del server non è sincronizzato o un certificato viene installato in anticipo, i browser lo rifiutano come non ancora valido.

Signature Algorithm — i certificati moderni utilizzano SHA-256, SHA-384 o ecdsa-with-SHA256. SHA-1 è stato deprecato anni fa e qualsiasi certificato che lo utilizza ancora dovrebbe essere riemesso.

Public Key — RSA a 2048 bit o superiore è lo standard. ECC a 256 bit è l’alternativa moderna e produce certificati più piccoli e veloci.

SAN (Subject Alternative Name) — i nomi host aggiuntivi coperti dal certificato. I Wildcard come *.example.com coprono tutti i sottodomini di primo livello. I certificati multi-dominio elencano qui ogni nome host protetto. Per i certificati DV, OV o EV, l’elenco SAN definisce esattamente quali domini il certificato validerà.


Funzionalità di sicurezza del certificato SSL spiegate

Oltre al certificato stesso, l’SSL checker riporta un pannello di sei funzionalità di sicurezza.

OCSP Stapling — il server recupera preventivamente il proprio stato di revoca dalla CA e lo include nell’handshake TLS sulla porta 443. “Not Supported” aggiunge latenza a ogni connessione. Di solito si risolve con una modifica di una riga nella configurazione di Apache, Nginx o IIS.

Perfect Forward Secrecy (PFS) — ogni sessione utilizza una chiave univoca, quindi una futura compromissione della chiave privata non può decifrare il traffico passato. “Not Supported” significa che le sessioni registrate potrebbero essere decifrate retroattivamente. Si abilita preferendo le cipher suite ECDHE.

Certificate Transparency (CT) — i certificati emessi vengono registrati nei log CT pubblici, consentendo ai proprietari di dominio di rilevare emissioni non autorizzate. “Not Supported” su un certificato pubblico è insolito.

HSTS (HTTP Strict Transport Security) — un header di risposta del server che indica ai browser di rifiutare le connessioni HTTP in chiaro. Senza HSTS, un attaccante può effettuare il downgrade di un visitatore da HTTPS e intercettare il traffico. Aggiungere un header Strict-Transport-Security nella configurazione del server web.

Stato di revoca del certificato — il checker interroga OCSP e CRL per confermare che il certificato non sia stato revocato. “Good” = attivo. “Revoked” = i browser lo rifiuteranno, riemettere immediatamente. “Unknown” su CRL è comune e non costituisce un problema se OCSP restituisce Good.

Record DNS CAA — un record DNS che elenca quali Certificate Authority possono emettere certificati per il dominio. Senza di esso, qualsiasi CA potrebbe tecnicamente emettere un certificato. Aggiungere un record CAA presso il provider DNS elencando le proprie CA.


Risultati della scansione delle vulnerabilità TLS

Vengono analizzate cinque vulnerabilità TLS note. La maggior parte dei server le ha corrette anni fa, quindi l’SSL checker di solito conferma che tutto è a posto.

Heartbleed (CVE-2014-0160) — un bug di lettura della memoria in OpenSSL che esponeva le chiavi private. “Safe” significa che il server esegue una versione di OpenSSL con la patch applicata.

POODLE (CVE-2014-3566) — un attacco padding-oracle contro SSLv3. “Safe” significa che SSLv3 è disabilitato.

BEAST (CVE-2011-3389) — un difetto nel cipher block chaining di TLS 1.0. “Safe” significa che TLS 1.0 è disabilitato o che il server utilizza cipher suite non vulnerabili.

ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat. Un difetto di padding RSA ricomparso in molte implementazioni di vendor. “Safe” significa che il server non espone uno scambio di chiavi vulnerabile.

Ticketbleed (CVE-2016-9244) — divulgazione di memoria specifica di F5 BIG-IP tramite i ticket di sessione TLS. “Safe” significa che non sono presenti dispositivi F5 senza patch.


Cipher suite e supporto dei protocolli

L’SSL checker raggruppa le cipher suite supportate in TLS 1.3, TLS 1.2 e Deboli.

  • TLS 1.3 dispone di un elenco ridotto di suite progettate per essere sicure per definizione.
  • La qualità delle cipher suite di TLS 1.2 varia, motivo per cui ogni suite viene elencata singolarmente.
  • La colonna Deboli segnala i protocolli o le cipher deprecati che dovrebbero essere disabilitati: SSLv3, TLS 1.0, TLS 1.1, RC4, 3DES e qualsiasi cipher NULL o EXPORT.

I nomi delle cipher suite seguono una struttura prevedibile. In TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:

  • ECDHE è lo scambio di chiavi (che fornisce Perfect Forward Secrecy)
  • ECDSA è l’algoritmo di firma
  • AES_256_GCM è il cifrario simmetrico
  • SHA384 è la funzione hash

Sia AES a 128 bit che a 256 bit sono sicuri.


Validazione della catena di certificati

Il report mostra la catena di certificati completa su tre livelli:

  • Certificato Server
  • Certificato Intermedio
  • Certificato Root

Ogni livello è firmato da quello superiore e la catena deve terminare con un root già considerato attendibile dal browser.

“Chain Complete” significa che i browser possono risalire dal server al root senza problemi.

“Incomplete” significa che uno o più intermedi sono assenti da quanto inviato dal server, quindi i browser non riescono a collegare il certificato a un root attendibile e i visitatori visualizzano un avviso di sicurezza.

Le catene incomplete sono uno dei problemi di installazione SSL più comuni, e l’SSL checker le segnala in cima al report. La soluzione consiste quasi sempre nel reinstallare utilizzando il bundle completo della catena fornito dalla CA. I percorsi specifici per server differiscono: Apache utilizza una direttiva per il file della catena, mentre Nginx si aspetta un fullchain.pem. IIS gestisce la ricostruzione della catena tramite la procedura guidata di importazione del certificato.


Verifica della scadenza del certificato SSL

L’SSL checker mostra la scadenza in due punti: il riepilogo in cima visualizza i giorni rimanenti e la data Valid To, mentre ogni certificato nella catena mostra la propria finestra di validità.

In base al CA/Browser Forum Ballot SC-081v3, la durata dei certificati SSL/TLS pubblici viene progressivamente ridotta. A partire dal 15 marzo 2026, la validità massima è scesa da 398 giorni a 200 giorni. Scenderà a 100 giorni dal 15 marzo 2027 e a 47 giorni dal 15 marzo 2029.

Con un certificato da 200 giorni, controlli mensili e un promemoria a 30 giorni dalla scadenza sono sufficienti. Quando arriveranno i certificati da 47 giorni, il rinnovo manuale diventerà impraticabile. La soluzione standard è l’automazione basata su ACME, che consente al server di richiedere e rinnovare i certificati senza intervento manuale.


Compatibilità con i browser – quando è rilevante

L’SSL checker verifica il certificato rispetto a 13 combinazioni di browser e dispositivi. I browser moderni (Chrome 80+, Firefox 80+, Safari 14+, Edge 80+, Opera 70+, Safari su iOS 15+, Android 10+) dovrebbero sempre mostrare Supportato su un certificato aggiornato.

Le piattaforme mobile meno recenti come Android 5-7 e iOS 12 mostrano spesso supporto parziale. L’importanza di questo aspetto dipende dal pubblico di riferimento. I browser desktop legacy come Internet Explorer 10 e 11 quasi sempre non funzionano con i certificati moderni perché non supportano TLS 1.2 per impostazione predefinita. Un punteggio di 9/13 con tutti i browser moderni al verde è normale nel 2026.


Quando eseguire un controllo SSL

Un singolo controllo dopo l’installazione non è sufficiente. Eseguire l’SSL checker:

  • Dopo aver installato un nuovo certificato
  • 30 giorni prima della scadenza in un ciclo da 200 giorni
  • Dopo ogni rinnovo o riemissione
  • Dopo una migrazione del server o un cambio di IP
  • Dopo aver cambiato Certificate Authority
  • Dopo essere passati a una configurazione wildcard o multi-dominio
  • Dopo aver abilitato HSTS, OCSP Stapling o qualsiasi modifica alla configurazione TLS

Domande frequenti

Con quale frequenza dovrei controllare il mio certificato SSL?

Mensile è una baseline ragionevole. Con certificati a 200 giorni come massimo, imposta un promemoria fisso per eseguire un controllo completo 30 giorni prima della scadenza. Esegui un controllo aggiuntivo dopo i rinnovi, poiché gli errori di bundle della catena sono il problema post-rinnovo più comune.

Copia link

Quale deve essere il mio SSL Security Rating?

Punta a un A o A+. Una B funziona in ogni browser, ma il divario di solito indica problemi risolvibili. La maggior parte dei cali di valutazione risale a due elementi che l’SSL checker segnala nel pannello delle funzioni di sicurezza: un header HSTS mancante o un record CAA non configurato. Nessuno dei due richiede di modificare il certificato.

Copia link

Cosa significa se il report mostra una “incomplete chain”?

Il tuo server non sta inviando tutti i certificati intermedi di cui i browser hanno bisogno. La soluzione rapida: Apache utilizza SSLCertificateChainFile o un bundle combinato, Nginx si aspetta un file fullchain.pem, e IIS ricostruisce la catena attraverso la procedura guidata di importazione del certificato.

Copia link

Posso verificare il certificato SSL di un hostname interno o locale?

No, i checker pubblici non possono raggiungere gli host interni dietro i firewall. Da una macchina sulla stessa rete, esegui openssl s_client -connect host:443 -servername host per un output equivalente. Lo strumento da riga di comando OpenSSL è incluso nella maggior parte delle distribuzioni Linux ed è disponibile per Windows.

Copia link

Lo SSL Checker funziona con certificati di qualsiasi Certificate Authority?

Sì. Legge qualsiasi certificato che il server presenta, da Sectigo, DigiCert, GeoTrust, RapidSSL, Thawte, GoGetSSL, Let’s Encrypt, Google Trust Services e altri. Il catalogo di certificati SSL di SSL Dragon copre sei di quelle CA affiancate.

Copia link

Perché il report mostra “Not Supported” per HSTS anche se il mio SSL funziona?

HSTS è un header di risposta del server, non fa parte del certificato. Il certificato può essere perfettamente valido mentre HSTS rimane non configurato. Aggiungilo nella configurazione del web server: Apache usa Header always set Strict-Transport-Security, Nginx usa add_header Strict-Transport-Security.

Copia link