1000 FAQ, 500 tutorial e video esplicativi. Qui ci sono delle soluzioni!
Risolvere gli allarmi dei test SSL Labs
Questa guida spiega come interpretare correttamente le informazioni dettagliate fornite da Qualys SSL Labs
(https://www.ssllabs.com/ssltest/) che a volte possono sembrare tecniche o allarmanti senza un contesto appropriato.
Preambolo
- Qualys SSL Labs è uno strumento di analisi ampiamente utilizzato per valutare la configurazione SSL/TLS dei siti web.
- Gli avvisi nei loro rapporti sono spesso solo dettagli tecnici senza impatto sulla sicurezza o sul SEO del sito.
Certificati multipli nei rapporti SSL Labs
Quando SSL Labs analizza un sito, può visualizzare più certificati numerati (certificato 1, certificato 2, ecc.). Questo accade per diversi motivi:
- Certificato principale (1)Il certificato presentato quando viene utilizzato il SNI (Server Name Indication).
- L'SNI è un'estensione TLS che consente a un server di ospitare più certificati SSL per domini diversi su uno stesso indirizzo IP. Quando un browser si connette, indica il nome di dominio che desidera allegare.
- Certificato secondario (2)Il certificato presentato quando l'SNI non viene utilizzato o durante una connessione diretta tramite IP.
Un’indicazione”No SNI
" nel certificato 2 Non è un errore Significa semplicemente che SSL Labs ha testato ciò che accade quando un client si connette senza fornire informazioni SNI. In questo caso:
- Il server serve come certificato di backup (spesso un certificato generico o di anteprima).
- Questa situazione riguarda solo clienti molto obsoleti che non supportano l'SNI.
- I browser moderni utilizzano tutti gli SNI e riceveranno quindi il certificato 1.
Problemi della catena dei certificati
"Chain issues: Incorrect order, Extra certs, Contains anchor
"
Questi avvertimenti non significano necessariamente che il certificato è difettoso:
Incorrect order
: I certificati intermedi non sono presentati nell'ordine ottimale.Extra certs
Sono inclusi i certificati aggiuntivi non necessari.Contains anchor
: Il certificato radice è incluso nella stringa.
Il protocollo TLS permette di omettere il certificato radice in quanto è normalmente già presente negli store dei certificati dei browser. Includerlo non è un errore, ma una ridondanza.
“Alternative names mismatch
”
Per il certificato di emergenza (2), l'avvertenza "MISMATCH
"è normale perché:
- Questo certificato è progettato per un altro dominio (
preview.infomaniak.website
). - Viene presentato solo quando l'SNI non viene utilizzato.
- Il browser che riceve questo certificato lo identificherebbe come non corrispondente al dominio richiesto, ma ciò non influisce sulle normali connessioni con SNI.
Per quanto riguarda le preoccupazioni SEO:
- Google e altri motori di ricerca utilizzano browser moderni che supportano SNI.
- Essi ricevono il certificato 1 che è valido per il tuo dominio.
- Le avvertenze relative al certificato 2 non hanno alcun impatto sulla SEO.
- Solo i problemi con il certificato principale (1) potrebbero influenzare il SEO.
Questa configurazione è perfetta per un hosting condiviso in cui più siti condividono la stessa infrastruttura, con un certificato di anteprima che funge da soluzione di ripiegamento.