Questa guida spiega come interpretare correttamente le informazioni dettagliate fornite da Qualys SSL Labs (https://www.ssllabs.com/ssltest/) che possono sembrare tecniche o allarmanti senza il contesto appropriato.

Premessa

• Qualys SSL Labs è uno strumento di analisi ampiamente utilizzato per valutare la configurazione SSL/TLS dei siti web.
• Gli avvertimenti nei loro rapporti sono spesso solo dettagli tecnici senza impatto sulla sicurezza o sul SEO del sito.

Certificati multipli nei rapporti SSL Labs

Quando SSL Labs analizza un sito, può visualizzare più certificati numerati (certificato #1, certificato #2, ecc.). Questo accade per diverse ragioni:

1. Certificato principale (#1): Il certificato presentato quando viene utilizzato il SNI (Server Name Indication).
   • Il SNI è un'estensione TLS che consente a un server di ospitare più certificati SSL per diversi domini sullo stesso indirizzo IP. Quando un browser si connette, indica il nome di dominio a cui desidera connettersi.
2. Certificato secondario (#2): Il certificato presentato quando il SNI non viene utilizzato o durante una connessione diretta tramite IP.

Un'indicazione "No SNI" nel certificato #2 non è un errore. Significa semplicemente che SSL Labs ha testato cosa accade quando un client si connette senza fornire informazioni SNI. In questo caso:

• Il server fornisce un certificato di backup (spesso un certificato generico o di anteprima).
• Questa situazione riguarda solo client molto obsoleti che non supportano il SNI.
• I browser moderni utilizzano tutti il SNI e riceveranno quindi il certificato #1.

Problemi di catena di certificati

"Chain issues: Incorrect order, Extra certs, Contains anchor"

Questi avvertimenti non significano necessariamente che il certificato è difettoso:

• Incorrect order: I certificati intermedi non sono presentati nell'ordine ottimale.
• Extra certs: Sono inclusi certificati aggiuntivi non necessari.
• Contains anchor: La catena include il certificato radice.

Il protocollo TLS consente di omettere il certificato radice poiché è normalmente già presente nei negozi di certificati dei browser. Includerlo non è un errore, ma una ridondanza.

"Alternative names mismatch"

Per il certificato di soccorso (#2), l'avviso "MISMATCH" è normale perché:

• Questo certificato è progettato per un altro dominio (preview.infomaniak.website).
• Viene visualizzato solo quando SNI non viene utilizzato.
• Il browser che riceve questo certificato lo identificerebbe come non corrispondente al dominio richiesto, ma ciò non influisce sulle connessioni normali con SNI.

Per quanto riguarda le preoccupazioni SEO:

• Google e altri motori di ricerca utilizzano browser moderni che supportano SNI.
• Ricevono il certificato #1 che è valido per il tuo dominio.
• Gli avvisi riguardanti il certificato #2 non hanno alcun impatto sul posizionamento.
• Solo problemi con il certificato principale (#1) potrebbero influire sul SEO.

Questa configurazione è perfettamente adatta per un hosting condiviso in cui più siti condividono la stessa infrastruttura, con un certificato di anteprima che funge da soluzione di backup.