Questa guida spiega come interpretare correttamente le informazioni dettagliate fornite da Qualys SSL Labs (https://www.ssllabs.com/ssltest/) che possono sembrare tecniche o allarmanti senza il contesto appropriato.

Premessa

• Qualys SSL Labs è uno strumento di analisi ampiamente utilizzato per valutare la configurazione SSL/TLS dei siti web.
• Gli avvertimenti nei loro rapporti sono spesso solo dettagli tecnici senza impatto sulla sicurezza o sul SEO del sito.

Certificati multipli nei rapporti SSL Labs

Quando SSL Labs analizza un sito, può visualizzare più certificati numerati (certificato #1, certificato #2, ecc.). Questo accade per diverse ragioni:

1. Certificato principale (#1): Il certificato presentato quando viene utilizzato il SNI (Server Name Indication).
   • Il SNI è un'estensione TLS che consente a un server di ospitare più certificati SSL per diversi domini su un singolo indirizzo IP. Quando un browser si connette, indica il nome di dominio a cui desidera accedere.
2. Certificato secondario (#2): Il certificato presentato quando il SNI non è utilizzato o durante una connessione diretta tramite IP.

Un'indicazione "No SNI" nel certificato #2 non è un errore. Significa semplicemente che SSL Labs ha testato cosa accade quando un cliente si connette senza fornire informazioni SNI. In questo caso:

• Il server fornisce un certificato di backup (spesso un certificato generico o di anteprima).
• Questa situazione riguarda solo client molto obsoleti che non supportano il SNI.
• I browser moderni utilizzano tutti il SNI e riceveranno quindi il certificato #1.

Problemi di catena di certificati

"Problemi di catena: Ordine errato, Certificati extra, Contiene anchor"

Questi avvisi non significano necessariamente che il certificato è difettoso:

• Ordine errato: I certificati intermedi non sono presentati nell'ordine ottimale.
• Extra certs: Sono inclusi certificati aggiuntivi non necessari.
• Contains anchor: Il certificato radice è incluso nella catena.

Il protocollo TLS consente di omettere il certificato radice poiché è normalmente già presente nei negozi di certificati dei browser. Includerlo non è un errore, ma una ridondanza.

“Alternative names mismatch”

Per il certificato di backup (#2), l'avviso "MISMATCH" è normale perché:

• Questo certificato è progettato per un altro dominio (preview.infomaniak.website).
• Viene presentato solo quando SNI non viene utilizzato.
• Il browser che riceve questo certificato lo identificerebbe come non corrispondente al dominio richiesto, ma ciò non influisce sulle connessioni normali con SNI.

Per quanto riguarda le preoccupazioni SEO:

• Google e gli altri motori di ricerca utilizzano browser moderni che supportano il SNI.
• Ricevono il certificato #1 che è valido per il tuo dominio.
• Gli avvertimenti riguardanti il certificato #2 non hanno impatto sul posizionamento nei motori di ricerca.
• Solo problemi con il certificato principale (#1) potrebbero influenzare il SEO.

Questa configurazione è perfettamente adatta per un hosting condiviso dove più siti condividono la stessa infrastruttura, con un certificato di previsualizzazione che funge da soluzione di backup.