Come ottenere un certificato SSL gratuito e valido per il tuo sito Web WordPress

Pubblicato: 2017-03-03

Ottenere un certificato SSL gratuito

1. Cos'è HTTPS?
2. Come funziona la sicurezza del sito web?
3. Perché dovrei ottenere un certificato SSL?
4. Dove posso ottenere un certificato SSL gratuito?
5. Cosa devo considerare quando ottengo un certificato SSL?
6. Come posso installare un certificato SSL?
7. Cos'altro devo fare?

Il nostro team di WP Buffs aiuta i proprietari di siti Web, i partner di agenzie e i partner liberi professionisti a ottenere certificati SSL per i loro siti Web WordPress. Che tu abbia bisogno di noi per gestire 1 sito web o supportare 1000 siti clienti, ti copriamo le spalle.

1. Cos'è HTTPS?

"HTTP" o "HTTPS" viene visualizzato all'inizio di ogni URL di sito Web in un browser Web. HTTP sta per Hyper Text Transfer Protocol e la S in HTTPS sta per Secure. In generale, questo descrive il protocollo attraverso il quale i dati vengono inviati tra il tuo browser e il sito web che stai visualizzando.

HTTPS garantisce che tutte le comunicazioni tra il tuo browser e il sito web che stai visualizzando siano crittografate. Ciò significa che è sicuro. Solo i computer ricevente e mittente possono vedere le informazioni nel trasferimento di dati (altri potrebbero potenzialmente accedervi ma non sarebbero in grado di leggerli). Sui siti sicuri, il browser web mostra l'icona di un lucchetto nell'area dell'URL per avvisarti.

HTTPS dovrebbe essere presente su qualsiasi sito Web che raccoglie password, pagamenti, informazioni mediche o altri dati sensibili. Ma cosa succederebbe se potessi ottenere un certificato SSL gratuito e valido per il tuo dominio?

2. Come funziona la sicurezza del sito web?

È necessario installare un certificato SSL (Secure Socket Layer) per abilitare HTTPS. Il certificato contiene una chiave pubblica, necessaria per avviare la sessione in modo sicuro. Quando viene richiesta una connessione HTTPS a una pagina Web, il sito Web invierà il certificato SSL al tuo browser Web. Il tuo browser e il sito avviano quindi l'"handshake SSL", che prevede la condivisione di "segreti" per stabilire una connessione sicura tra il tuo browser e il sito web.

SSL standard o esteso

Se il sito Web utilizza un certificato SSL standard, vedrai l'icona di un lucchetto nell'area URL del browser (vedi screenshot). Se utilizza un certificato SSL a convalida estesa (EV), la barra degli indirizzi o l'URL sarà verde. Gli standard SSL EV superano quelli di SSL. EV SSL fornisce la garanzia dell'identità del proprietario del dominio. L'ottenimento di un certificato SSL EV richiede inoltre che i richiedenti passino attraverso un rigoroso processo di valutazione per confermarne l'autenticità e la proprietà.

3. Perché dovrei ottenere un certificato SSL?

Anche se il tuo sito web non accetta e non trasmette dati sensibili, ci sono alcuni motivi per cui potresti voler avere un sito web sicuro e ottenere un certificato SSL gratuito e valido per il tuo dominio.

  1. Prestazione. SSL può migliorare il tempo necessario per caricare una pagina.
  2. Ottimizzazione per i motori di ricerca (SEO). L'intenzione di Google è che Internet sia un'esperienza sicura e protetta per tutti, non solo per coloro che utilizzano Google Chrome, Gmail e Drive, ad esempio. La società ha affermato che la sicurezza sarà un fattore nel modo in cui classificano i siti nei risultati di ricerca. Per ora è piccolo. Tuttavia, se disponi di un sito Web sicuro e i tuoi concorrenti no, il tuo sito Web potrebbe posizionarsi più in alto, il che potrebbe essere il vantaggio necessario per ottenere quel clic dalla pagina dei risultati di ricerca.
  3. Fiducia. Se il tuo sito web non è sicuro e raccoglie password o carte di credito, gli utenti della versione 56 di Chrome (rilasciata a gennaio 2017) vedranno un avviso che indica che il sito non è sicuro (vedi screenshot sotto). I visitatori non esperti di tecnologia (la maggior parte degli utenti del sito Web) potrebbero allarmarsi nel vedere questo e abbandonare il sito, semplicemente perché non capiscono cosa significa. D'altra parte, se il tuo sito è sicuro, ciò potrebbe mettere a proprio agio i visitatori, rendendo più probabile che compilino un modulo di registrazione o lascino un commento sul tuo sito. Google ha un piano a lungo termine per mostrare tutti i siti HTTP come non sicuri in Chrome.

4. Dove posso ottenere un certificato SSL gratuito?

Ottieni un certificato SSL da un'autorità di certificazione. Alcune fonti gratuite affidabili sono:

  • Let's Encrypt: certificati validi 90 giorni, rinnovo consigliato a 60 giorni
  • Cloudflare: gratuito per siti web e blog personali
  • FreeSSL: al momento gratuito per organizzazioni non profit e startup; non può essere un cliente Symantec, Thawte, GeoTrust o RapidSSL
  • StartSSL: certificati validi da 1 a 3 anni
  • GoDaddy: certificati gratuiti per progetti open source, validi 1 anno

Il tipo di certificato e la durata della validità variano a seconda dell'autorità. La maggior parte delle autorità offre certificati SSL standard gratuitamente e addebita i certificati SSL EV, se li forniscono. Cloudflare offre piani gratuiti e a pagamento e varie opzioni aggiuntive.

5. Cosa devo considerare quando ottengo un certificato SSL?

Google consiglia un certificato con una chiave a 2048 bit. Se hai già un certificato a 1024 bit, che è più debole, ti consigliano di aggiornarlo.

Dovrai decidere se hai bisogno di un certificato singolo, multidominio o jolly:

  • Un singolo certificato sarebbe per un singolo dominio (ad esempio, www.example.com).
  • Un certificato multidominio sarebbe per più domini noti (ad esempio, www.example.com, cdn.example.com, example.co.uk).
  • Un certificato con caratteri jolly sarebbe per un dominio sicuro con molti sottodomini dinamici (ad esempio, a.example.com, b.example.com).

6. Come posso installare un certificato SSL?

Il tuo host web può installare il certificato gratuitamente o a pagamento. Alcuni host in realtà hanno un'opzione di installazione Let's Encrypt nella loro dashboard cPanel, rendendolo facile da fare da soli. Chiedi al tuo host attuale o trovane uno che offra supporto diretto per Let's Encrypt. Se il tuo host non fornisce questo servizio, la società di manutenzione del tuo sito web o lo sviluppatore potrebbero installare il certificato per te.

Dovresti aspettarti di dover rinnovare il certificato ogni tanto. Verificare i tempi con l'autorità di certificazione.

Per un'implementazione più semplice, collabora con un provider di hosting completamente gestito e loro si prenderanno cura di tutto per te. Un rapido ticket di supporto ed è fatta!

7. Cos'altro devo fare?

Forza SSL

Dopo aver ottenuto e installato il certificato SSL, è necessario forzare SSL sul sito. Ancora una volta, puoi chiedere al tuo host web, alla società di manutenzione o allo sviluppatore di farlo. Tuttavia, se preferisci farlo da solo e il tuo sito web è in WordPress, puoi farlo scaricando, installando e utilizzando un plugin.

Quando utilizzi un plugin, assicurati di verificarne la compatibilità con la tua versione di WordPress, le recensioni e le istruzioni di installazione. Due plugin popolari per forzare SSL sono:

  • SSL davvero semplice
  • WP Forza SSL

Assicurati di eseguire prima il backup del tuo sito e fai molta attenzione quando lo esegui. Se si configura erroneamente qualcosa, le conseguenze potrebbero essere disastrose:

  • i visitatori non riescono a vedere il tuo sito web,
  • immagini non visualizzate,
  • gli script non vengono caricati, il che potrebbe influire sul funzionamento di alcune cose sul tuo sito,
  • la tipografia e i colori non vengono visualizzati correttamente.

Configura reindirizzamenti 301 lato server

È necessario reindirizzare utenti e motori di ricerca alle pagine HTTPS tramite reindirizzamenti 301 nel file .htaccess nella cartella principale del server. Il file .htaccess è un file invisibile, quindi assicurati che il tuo programma FTP sia impostato per visualizzare i file nascosti. In FileZilla, ad esempio, vai su Server > Forza la visualizzazione dei file nascosti (vedi screenshot).

FileZilla

Prima di aggiungere i reindirizzamenti, sarebbe una buona idea eseguire il backup del file .htaccess. Sul server, rinomina temporaneamente il file rimuovendo il punto (che è ciò che lo rende invisibile in primo luogo), scarica il file (che sarà visibile sul tuo computer ora come risultato della rimozione del punto), quindi aggiungi nuovamente il punto in quello sul server.

Modifica le impostazioni di analisi

Dopo aver eseguito questi passaggi, dovrai modificare l'URL preferito nel tuo account Google Analytics per mostrare la versione HTTPS del tuo dominio. Altrimenti, le statistiche sul traffico saranno disattivate perché la versione HTTP dell'URL viene vista come un sito Web completamente diverso dalla versione HTTPS.

Anche Google Search Console tratta HTTP e HTTPS come domini separati, quindi aggiungi il dominio HTTPS in quell'account.

Tieni presente che quando passi da HTTP a HTTPS, se hai abilitato i pulsanti di condivisione social sul tuo sito, il numero di condivisioni verrà reimpostato.

Ed è così che installi un certificato SSL gratuito e valido per il tuo dominio e crittografi i tuoi dati per mantenerli al sicuro. I certificati SSL fanno parte del futuro della sicurezza di WordPress, quindi prendi il tuo o rimarrai nell’età della pietra.

Vuoi dare il tuo feedback o partecipare alla conversazione? Aggiungi i tuoi commenti su Twitter.

Salva Salva

Salva Salva