La guida passo-passo per attivare un certificato SSL

Avete appena acquistato il certificato SSL per il vostro sito. Ora il certificato va richiesto alla Certification Authority (CA), che effettuerà un processo di controllo dei vostri dati (validazione). In caso di esito positivo, la CA emetterà il certificato, che vi viene inviato direttamente tramite email.

Guida all'attivazione di un certificato SSL

Note preliminari

  1. Normalmente, per l'installazione di un SSL è richiesto un indirizzo IP dedicato. Tuttavia, se sul vostro server è disponibile la tecnologia SNI, è possibile installare il certificato SSL su un indirizzo IP condiviso. Si prega di verificare la disponibilità SNI con il vostro provider di hosting prima dell'attivazione del certificato SSL al fine di evitare uno dei problemi noti che possono verificarsi con questo tipo di installazione del certificato SSL.

  2. L'emissione di certificati SSL di tipo OV ed EV è riservata alle aziende: non possono quindi essere rilasciati a privati.

  3. I certificati SSL di tipo EV non possono essere rilasciati a privati, né a liberi professionisti, ma solo ad aziende.

  4. I certificati SSL di tipo EV rilasciati da Trustwave, in particolare, possono essere richiesti solo da aziende attive da almeno 5 anni.

Fase 1 - Generazione del codice CSR

La prima cosa da fare è generare il Certificate Signing Request (CSR). Questa operazione va eseguita sul server dove è ospitato il dominio da certificare.

Nel caso si utilizzino più server per ospitare il dominio, oppure nel caso di certificati multi-dominio o di tipo Wildcard, il CSR può essere generato sul server principale, o su uno qualsiasi dei server. La procedura è piuttosto semplice, ma varia a seconda del server che utilizzate. Per una guida esaustiva della generazione del CSR su ogni server, rimandiamo al seguente link:

https://www.digicert.com/csr-creation.htm

Simultaneamente al CSR, vengono generate la chiave pubblica (public key) e la chiave privata (private key). La chiave pubblica solitamente è inclusa nel CSR e viene inviata alla CA, mentre la chiave privata va conservata e custodita gelosamente. La condivisione della chiave privata può dare vita a falle nella crittografia. La chiave privata è inoltre fondamentale per installare il certificato su più server, in quanto vi verrà richiesta in fase di installazione. Attualmente, tutte le CA richiedono un codice CSR generato con una chiave privata di almeno 2048 bit.

Il CSR va generato curando scrupolosamente la correttezza e la completezza dei dati. Ecco i dati che vengono richiesti al momento della sua creazione:

  • Common Name (CN) - Il CN è nome del dominio. Ad esempio, miosito.it. Nel caso di certificati multi dominio, basta indicare il nome del sito principale. Il 'www' non è necessario, a meno che non vogliate un certificato specificatamente per il sottodominio 'www'. Nel caso di certificati Wildcard, il CN deve essere scritto nella forma *.miosito.it (asterisco, punto, nome del dominio principale). L'asterisco è appunto il carattere jolly (Wildcard) che permette di identificare la classe di sottodomini da certificare.

  • Business name / Azienda / Organizzazione - Semplicemente, il nome dell’azienda così come è registrato alla Camera di commercio. Va scritto per esteso, comprensivo dei suffissi S.R.L., S.P.A., ecc. Nel caso di certificati di tipo DV, non è necessario.

  • Organizational Unit / Dipartimento - L’eventuale unità operativa dell’azienda. In genere, non è obbligatorio.

  • Città - La città dove ha sede l’azienda o il dipartimento specifico dell’azienda

  • Provincia - La provincia, per esteso.

  • Nazione -  Il codice di 2 lettere che identifica la Nazione. Per l’Italia, IT.

  • Email - Un indirizzo email valido per contattare l’azienda o il titolare del certificato. Si consiglia di utilizzare l’indirizzo di chi richiede il certificato, o del dipartimento tecnico.

Fase 2 - Invio dei dati

Una volta generato il CSR, potete inviarci i dati per l’attivazione del certificato. Per questa operazione, è necessario compilare il form sul nostro sito, disponibile al seguente indirizzo:

https://www.sslcertificate.it/attiva/

Alcune note:

  • Email per la validazione - Quasi tutte le CA richiedono una mail del tipo admin@sito.it, administrator@sito.it, hostmaster@sito.it, postmaster@sito.it, webmaster@sito.it, dove ‘sito.it’ è il Common Name. Pertanto, consigliamo di attivare uno di questi 5 indirizzi. Sconsigliamo di creare un alias, in quanto la mail per la validazione potrebbe venire bloccata. In alternativa, è possibile utilizzare una mail presente nel WHOIS del sito, ma il procedimento è più lungo.
    N. B. - Nel caso di certificati multi-dominio (SAN), occorre attivare questi indirizzi per ogni dominio che si intende certificare.

  • Codice CSR - Il codice CSR va inviato includendo le diciture -----BEGIN NEW CERTIFICATE REQUEST----- e -----END NEW CERTIFICATE REQUEST----- che sono rispettivamente all'inizio e alla fine del codice.

  • Certificati di tipo EV - Questi certificati, che conferiscono la famosa “barra verde” nel browser, hanno una procedura piuttosto rigida per l’emissione. Nello specifico, tutti i dati dell’azienda, incluso il numero di telefono per completare la validazione, devono poter essere verificati tramite canali ufficiali, esterni all’azienda (Pagine Gialle, richiesta del numero di abbonato, risorse della pubblica amministrazione, report Dun & Bradstreet). Qualora non sia possibile questa verifica, verrà richiesta una dichiarazione da un legale o da un commercialista dell’azienda, oppure una bolletta telefonica con il numero di telefono e i dati di fatturazione dell’azienda, o altri documenti ancora, che devono essere però sempre confermati da un professionista esterno (avvocato, commercialista, notaio, ecc.).

Fase 3 - Processo di validazione

Dopo aver ricevuto i vostri dati, il team di SSL Certificate li verifica e li invia alla CA, la quale invierà una mail per chiedere conferma dei dati all’indirizzo fornito per la validazione.

Da questo momento inizia il processo di validazione, che può richiedere pochi minuti (per i certificati DV), fino a una settimana (per i certificati EV). Per maggiori informazioni sulle tempistiche, clicca qui.

Nel caso dei certificati di tipo DV, solitamente è sufficiente rispondere alla mail di validazione e il certificato viene emesso in automatico nel giro di un paio d’ore al massimo.

Per i certificati di tipo OV ed EV, invece, la validazione è più lenta perché i dati aziendali vengono verificati dalla CA, spesso manualmente. Vi raccomandiamo di attenervi strettamente alle istruzioni contenute nella mail inviata dalla CA.

Fase 4 - Emissione del certificato

Conclusa la fase di validazione, viene emesso il certificato. Il certificato viene inviato in formato digitale all’indirizzo email usato per la validazione. Consigliamo di effettuare una copia di back-up del certificato: nel caso il server si guasti e/o si renda necessario cambiarlo, sarà più semplice e veloce l’installazione del certificato. Il certificato va installato su tutti i server che ospitano il dominio (o i domini) da certificare. Anche in questo caso, la procedura è piuttosto semplice e varia in base al server. Per una guida esaustiva, rimandiamo al link seguente:

https://www.digicert.com/ssl-certificate-installation.htm

Una volta installato, è possibile verificare che sia tutto corretto, al seguente indirizzo:

https://www.digicert.com/help/

Per ulteriori informazioni, vi invitiamo a contattarci.