Guide e Tutorial

Come Impostare Certificato SSL/HTTPS su Hosting

Redazione
Lucchetto digitale SSL verde su server di hosting per attivazione HTTPS

Mettere il tuo sito in HTTPS tramite un certificato SSL non è più un optional, ma un’esigenza fondamentale. Non si tratta solo di sicurezza, ma è un fattore di ranking diretto per Google e un segnale di fiducia irrinunciabile per gli utenti. La transizione da HTTP a HTTPS sul tuo hosting può sembrare complessa, ma con una guida chiara, è un processo gestibile.

Ecco i passaggi chiave per attivare SSL/HTTPS sul tuo piano hosting.

1. Acquisizione e Tipologia del Certificato SSL

Il primo passo è avere il certificato. Molti provider di hosting moderni (come OVHcloud, Register.it o SupportHost) offrono un Certificato SSL gratuito (spesso Let’s Encrypt), che è più che sufficiente per la maggior parte dei siti web personali o PMI.

Esistono tre tipi principali di certificati, che si differenziano per il livello di convalida:

  • DV (Domain Validation): È il più comune (e spesso gratuito, come Let’s Encrypt). Richiede solo la verifica del controllo sul dominio via email o DNS. Ideale per blog e siti semplici.
  • OV (Organization Validation): Prevede una verifica aggiuntiva sull’organizzazione che richiede il certificato. Indicato per siti aziendali che non gestiscono transazioni finanziarie.
  • EV (Extended Validation): Offre il massimo livello di fiducia con una verifica approfondita dell’identità dell’azienda. Spesso identificato dalla barra degli indirizzi verde in alcuni browser (anche se questa visualizzazione è sempre meno comune). È la scelta per e-commerce e banche.

Se il tuo hosting non offre l’SSL gratuito o hai bisogno di un certificato EV/OV, dovrai acquistarlo da una Certificate Authority (CA) come DigiCert o Sectigo.

2. Generazione del CSR (Certificate Signing Request)

Se hai acquistato un certificato, per attivarlo dovrai generare un CSR (richiesta di firma del certificato). Questo passaggio è cruciale perché crea la coppia di chiavi: una chiave privata (che resta segreta sul tuo server) e una chiave pubblica (contenuta nel CSR).

  • Dove si genera: Generalmente, questa operazione si esegue nel pannello di controllo del tuo hosting (ad esempio, cPanel, Plesk, o un pannello proprietario) nella sezione “SSL/TLS” o “Sicurezza”.
  • I dati richiesti: Dovrai inserire i dettagli del tuo dominio, l’organizzazione (se OV/EV), la città e il paese.

Una volta generato, invierai il file CSR alla CA che ti ha rilasciato il certificato. Loro lo utilizzeranno per “firmare” e rilasciare il certificato finale.

3. Installazione del Certificato sull’Hosting

Il metodo di installazione dipende dal tuo hosting:

A. Certificato Gratuito (Let’s Encrypt)

Nella maggior parte dei casi, l’attivazione è “un click”. Accedi al tuo pannello (cPanel, Plesk, etc.), vai alla sezione SSL e cerca l’opzione “Installa SSL Gratuito” o “Let’s Encrypt”. L’hosting farà tutto il resto, installando e rinnovando il certificato automaticamente.

B. Certificato Acquistato (Manuale)

Dopo la validazione, la CA ti invierà il certificato (spesso un file .crt e un file ca-bundle).

  1. Accesso: Vai alla sezione SSL/TLS o Gestione Certificati nel tuo pannello hosting (es. cPanel).
  2. Caricamento: Dovrai caricare o incollare il contenuto di tre elementi nell’interfaccia:
    • La tua Chiave Privata (generata durante il CSR e conservata sul server).
    • Il Certificato (CRT) (il file .crt che hai ricevuto).
    • Il Certificate Authority Bundle (CABUNDLE) (il file di testo che completa la catena di fiducia).
  3. Installazione: Clicca su “Installa” o “Carica Certificato”.

Se l’installazione è corretta, il tuo sito sarà accessibile via https:// ma potresti non essere ancora sicuro di reindirizzamenti.

4. Reindirizzamento da HTTP a HTTPS (L’Ottimizzazione SEO Cruciale)

Dopo l’installazione, il tuo sito è accessibile sia in HTTP che in HTTPS. Questo crea problemi di “contenuto duplicato” per i motori di ricerca. È obbligatorio forzare tutti gli utenti e i bot a visitare la versione sicura.

  • Il metodo migliore è con i reindirizzamenti 301 a livello di server, modificando il file .htaccess (per server Apache). Inserisci queste righe all’inizio del file:ApacheRewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] Questo frammento di codice assicura che ogni richiesta HTTP venga reindirizzata in modo permanente (301) alla sua corrispettiva versione HTTPS.
  • Per WordPress: Se usi WordPress, spesso è sufficiente aggiornare le impostazioni URL del sito da http:// a https:// in Impostazioni > Generali.

5. Correzione dei “Mixed Content” e Aggiornamento Interno

L’ultimo passaggio è essenziale: la correzione dei “Mixed Content”. Succede quando la pagina è caricata in HTTPS, ma alcune risorse (immagini, CSS, script) vengono ancora richiamate con link HTTP. Questo annulla la sicurezza e spesso causa l’assenza del lucchetto nel browser.

  • Strumenti: Usa strumenti come Why No Padlock? per identificare le risorse non sicure.
  • Azione: Aggiorna ogni link interno nel codice del tuo sito o nel database (ad esempio, gli URL delle immagini) da http://tuosito.com/... a https://tuosito.com/....

Dopo aver completato questi passaggi e aver aggiornato la sitemap in Google Search Console con gli URL HTTPS, il tuo sito sarà completamente sicuro, e ottimizzato per la SEO.

FAQ su SSL/HTTPS e Hosting

Il certificato SSL gratuito (Let’s Encrypt) è sicuro quanto uno a pagamento? Sì, il livello di crittografia è lo stesso. La principale differenza tra un certificato gratuito DV (Domain Validation) e uno a pagamento OV (Organization Validation) o EV (Extended Validation) non è nella sicurezza della crittografia, ma nel livello di verifica dell’identità. Per un blog o una piccola azienda, un DV gratuito offre una protezione di pari efficacia.

Quanto l’HTTPS incide realmente sul posizionamento SEO? Incide in modo significativo, non solo come fattore diretto ma anche indiretto. Google ha confermato che l’HTTPS è un piccolo segnale di ranking dal 2014. Più importante è che i browser moderni avvisano gli utenti sui siti non sicuri (HTTP), aumentando la frequenza di rimbalzo (bounce rate) e minando l’autorevolezza, entrambi elementi che danneggiano il tuo posizionamento.

Cosa sono gli errori di “Mixed Content” e come si risolvono? Il “Mixed Content” (contenuto misto) si verifica quando una pagina HTTPS carica risorse (come immagini o fogli di stile) tramite l’URL HTTP. Ciò compromette la sicurezza. Si risolve aggiornando tutti i riferimenti interni nel codice della pagina (inclusi i file CSS/JS e le immagini) in modo che utilizzino l’URL HTTPS. Esistono plugin per CMS come WordPress che automatizzano questa correzione.

By Redazione

Redazione di llow.it portale informativo ricco di guide e consigli pratici per cercare di risolvere ogni tipo di problema, ma anche per piccole curiosità.

Possono interessarti

No widgets found. Go to Widget page and add the widget in Offcanvas Sidebar Widget Area.