Questa guida spiega come scaricare o esportare un certificato SSL dal Manager Infomaniak.

Premessa

• Il download del certificato produce un file in formato .zip.
• L'archivio contiene i file .key e .crt (oltre a _windows.pfx & .protected.key a seconda del tipo di certificato):
  
• È consigliabile conservare questo certificato e la sua chiave privata in un luogo sicuro, poiché quest'ultima potrebbe consentire l'accesso ai tuoi dati cifrati.

Esportare o scaricare un certificato SSL

Per accedere alla gestione dei tuoi certificati:

1. Clicca qui per accedere alla gestione del tuo prodotto sul Manager Infomaniak (hai bisogno di aiuto?):
   
2. Filtra, se necessario, i tuoi tipi di certificati cliccando sull'icona dedicata a questo scopo.
3. Visualizza i diversi tipi di certificati come Let's Encrypt, Sectigo DV & EV...
4. Aggiungi i certificati che devono essere visualizzati.
5. Applica i filtri:
   
6. La tabella mostra solo i tipi di certificati che hai selezionato.

Esportare un certificato Let's Encrypt

1. Clicca direttamente sul nome assegnato al certificato Let's Encrypt nell'elenco:
   
2. Clicca sul menu delle azioni ⋮ a destra dell'oggetto interessato nella tabella che viene visualizzata.
3. Scegli Esporta il certificato e segui le istruzioni per scaricare l'archivio sul tuo dispositivo:
   

Esportare un certificato Sectigo

1. Clicca direttamente sul nome assegnato al certificato nell'elenco dei certificati.
2. Clicca sul pulsante Gestisci.
3. Fai clic su Scarica il certificato e segui le istruzioni per scaricare l'archivio sul tuo dispositivo:
   

Questa guida spiega come aggiungere o modificare uno o più record di tipo CAA nella zona DNS (di un nome di dominio) gestita su Manager Infomaniak.

Premessa

• Un record CAA consente di specificare un'autorità di certificazione autorizzata a rilasciare certificati per un dominio.

Aggiungere un CAA

Per gestire questo tipo di record in una zona DNS:

1. Clicca qui per accedere alla gestione del tuo dominio su Manager Infomaniak (hai bisogno di aiuto?).
2. Clicca direttamente sul nome attribuito al dominio interessato.
3. Clicca su Zona DNS nel menu laterale sinistro.
4. Clicca il pulsante per aggiungere un record:
   
5. Clicca sul pulsante radio CAA per aggiungere un record.
6. Clicca sul pulsante Avanti:
   
7. Inserisci i valori CAA necessari per la tua zona DNS: se si tratta di validare un certificato SSL, prendi visione delle informazioni riportate di seguito.
8. Salva le tue informazioni cliccando sul pulsante in fondo alla pagina.

Aggiunta di CAA per validare un certificato SSL…

… Sectigo

Nel caso di una validazione di certificato SSL Sectigo, segui la guida generica ma inserisci specificamente i seguenti dati:

• Scegli “Emitto per autorità di certificazione”.
• Inserisci la bandiera/flag: 0.
• Specifica sectigo.com.

… Let's Encrypt

In caso di validazione di un certificato SSL Let's Encrypt, seguite la guida generica ma inserite specificamente i seguenti dati:

• Scegli “Emitto per autorità di certificazione”.
• Inserisci la bandiera/flag: 0.
• Specificate letsencrypt.org.

Questa guida spiega come interpretare correttamente le informazioni dettagliate fornite da Qualys SSL Labs (https://www.ssllabs.com/ssltest/) che possono sembrare tecniche o allarmanti senza il contesto appropriato.

Premessa

• Qualys SSL Labs è uno strumento di analisi ampiamente utilizzato per valutare la configurazione SSL/TLS dei siti web.
• Gli avvertimenti nei loro rapporti sono spesso solo dettagli tecnici senza impatto sulla sicurezza o sul SEO del sito.

Certificati multipli nei rapporti SSL Labs

Quando SSL Labs analizza un sito, può visualizzare più certificati numerati (certificato #1, certificato #2, ecc.). Questo accade per diverse ragioni:

1. Certificato principale (#1): Il certificato presentato quando viene utilizzato il SNI (Server Name Indication).
   • Il SNI è un'estensione TLS che consente a un server di ospitare più certificati SSL per diversi domini sullo stesso indirizzo IP. Quando un browser si connette, indica il nome di dominio a cui desidera connettersi.
2. Certificato secondario (#2): Il certificato presentato quando il SNI non viene utilizzato o durante una connessione diretta tramite IP.

Un'indicazione "No SNI" nel certificato #2 non è un errore. Significa semplicemente che SSL Labs ha testato cosa accade quando un client si connette senza fornire informazioni SNI. In questo caso:

• Il server fornisce un certificato di backup (spesso un certificato generico o di anteprima).
• Questa situazione riguarda solo client molto obsoleti che non supportano il SNI.
• I browser moderni utilizzano tutti il SNI e riceveranno quindi il certificato #1.

Problemi di catena di certificati

"Chain issues: Incorrect order, Extra certs, Contains anchor"

Questi avvertimenti non significano necessariamente che il certificato è difettoso:

• Incorrect order: I certificati intermedi non sono presentati nell'ordine ottimale.
• Extra certs: Sono inclusi certificati aggiuntivi non necessari.
• Contains anchor: La catena include il certificato radice.

Il protocollo TLS consente di omettere il certificato radice poiché è normalmente già presente nei negozi di certificati dei browser. Includerlo non è un errore, ma una ridondanza.

"Alternative names mismatch"

Per il certificato di soccorso (#2), l'avviso "MISMATCH" è normale perché:

• Questo certificato è progettato per un altro dominio (preview.infomaniak.website).
• Viene visualizzato solo quando SNI non viene utilizzato.
• Il browser che riceve questo certificato lo identificerebbe come non corrispondente al dominio richiesto, ma ciò non influisce sulle connessioni normali con SNI.

Per quanto riguarda le preoccupazioni SEO:

• Google e altri motori di ricerca utilizzano browser moderni che supportano SNI.
• Ricevono il certificato #1 che è valido per il tuo dominio.
• Gli avvisi riguardanti il certificato #2 non hanno alcun impatto sul posizionamento.
• Solo problemi con il certificato principale (#1) potrebbero influire sul SEO.

Questa configurazione è perfettamente adatta per un hosting condiviso in cui più siti condividono la stessa infrastruttura, con un certificato di anteprima che funge da soluzione di backup.

Questa guida spiega come generare e rinnovare automaticamente un certificato wildcard tramite una sfida DNS utilizzando Certbot e il plugin dns-infomaniak.

1. Installazione degli strumenti necessari

Il plugin DNS Infomaniak non è incluso per impostazione predefinita. Per evitare l'errore plugin does not appear to be installed, installare certbot e la sua estensione seguendo le istruzioni ufficiali.

Assicurarsi di selezionare la scheda Wildcard sul sito di Certbot dopo aver scelto il proprio sistema.

2. Generazione iniziale manuale

Eseguire questo comando per avviare la prima generazione del certificato:

certbot certonly --manual \
-d *.example.com \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory

3. Validazione della sfida DNS (Registrazione TXT)

Per dimostrare di possedere il dominio, accedere al proprio Manager Infomaniak e creare la registrazione TXT seguente:

• Nome: _acme-challenge
• Valore: (quello fornito dal comando Certbot)

4. Preparazione dell'API Infomaniak

Per automatizzare il processo, generare un token API con l'ambito domain nella propria interfaccia di gestione. Questo token permetterà allo script di aggiornare i DNS automaticamente.

5. Script di autenticazione (infomaniak-auth.sh)

Creare il file /root/infomaniak-auth.sh. Questo script verrà chiamato da Certbot durante il rinnovo:

#!/bin/bash
# API Token for Infomaniak
INFOMANIAK_API_TOKEN="YOUR_API_TOKEN_HERE"
# Update DNS record via Infomaniak API plugin
/usr/bin/certbot \
  --authenticator dns-infomaniak \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d "$CERTBOT_DOMAIN" \
  --agree-tos

Rendere lo script eseguibile:

chmod +x /root/infomaniak-auth.sh

6. Script di pulizia (infomaniak-clean.sh)

Creare il file /root/infomaniak-clean.sh per completare la procedura:

#!/bin/bash
# Optional: Cleanup operations after challenge
exit 0

Rendere lo script eseguibile:

chmod +x /root/infomaniak-clean.sh

7. Configurazione del rinnovo automatico

Modifica o crea il seguente file di configurazione: /etc/letsencrypt/renewal/example.com.conf.

cert = /etc/letsencrypt/live/example.com/cert.pem
privkey = /etc/letsencrypt/live/example.com/privkey.pem
chain = /etc/letsencrypt/live/example.com/chain.pem
fullchain = /etc/letsencrypt/live/example.com/fullchain.pem
[renewalparams]
authenticator = manual
manual_auth_hook = /root/infomaniak-auth.sh
manual_cleanup_hook = /root/infomaniak-clean.sh
server = https://acme-v02.api.letsencrypt.org/directory
pref_challs = dns-01
account = YOUR_ACCOUNT_ID
key_type = rsa

8. Test e Automatizzazione (Cron)

Prima di automatizzarlo, verifica che tutto funzioni correttamente con una simulazione:

certbot renew --dry-run

Se il test ha successo, aggiungi questo compito Cron per verificare il rinnovo ogni X giorni:

0 0 */30 * * /usr/bin/certbot renew --quiet --config /etc/letsencrypt/renewal/example.com.conf

Modifica 30 giorni sopra secondo la frequenza desiderata. Il cron utilizzerà automaticamente:

• il file domain.tld.conf
• lo script di autenticazione infomaniak-auth.sh
• il plugin dns-infomaniak

Questa guida spiega come…

1. … generare una CSR e una chiave privata per richiedere un certificato di terze parti presso un'autorità di certificazione (CA),
2. … importare questo certificato per il tuo sito Infomaniak, grazie al CRT ottenuto presso la CA.

Premessa

• Sebbene Infomaniak offra tutti i certificati SSL di cui potresti avere bisogno…
  • certificati gratuiti Let's Encrypt per i siti personali (possibile solo con i siti ospitati da Infomaniak),
  • certificati DV di Sectigo per i siti professionali/privati che non sono iscritti al registro delle imprese,
  • certificati EV di Sectigo per le aziende iscritte al registro delle imprese,
• … è anche possibile installare un certificato SSL ottenuto altrove (certificato intermedio di un ente di certificazione di tua scelta), certificati personalizzati o auto-firmati.

1. Generare una CSR (Certificate Signing Request)

Una CSR (Certificate Signing Request o Richiesta di Firma del Certificato) è un file codificato che contiene le informazioni necessarie per richiedere un certificato SSL/TLS.

Deve essere generata dal tuo lato, per garantire che la chiave privata rimanga sotto il tuo controllo, utilizzando ad esempio OpenSSL.

Adatta ed esegui il seguente comando da un'applicazione di tipo Terminal (interfaccia a riga di comando, CLI / Command Line Interface) sul tuo dispositivo:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Spiegazioni

• newkey rsa:2048: Genera una nuova chiave RSA da 2048 bit.
• keyout domain.xyz.key: Specifica il file in cui verrà salvata la chiave privata.
• out domain.xyz.csr: Specifica il file in cui verrà registrata la CSR.
• addext “subjectAltName = ...”: Aggiunge domini aggiuntivi tramite l'estensione SAN (Subject Alternative Name), necessaria per includere tutti i domini desiderati nel certificato (il dominio principale domain.xyz + qualsiasi altro dominio o sottodominio associato, come www.domain.xyz).

Dopo la generazione, puoi verificare il contenuto della CSR con il seguente comando:

openssl req -in domain.xyz.csr -noout -text

Questo permette di verificare che tutti i domini elencati in subjectAltName siano correttamente inclusi.

Una volta generata la CSR, puoi trasmetterla all'autorità di certificazione (CA) per ottenere il tuo certificato SSL/TLS.

2. Importare il certificato esterno

Una volta validata, la CA ti rilascia un certificato (domain.xyz.crt) e talvolta un certificato intermedio (ca_bundle.crt).

Per accedere alla gestione dei certificati SSL:

1. Clicca qui per accedere alla gestione del tuo sito sul Manager Infomaniak (hai bisogno di aiuto?).
2. Clicca direttamente sul nome assegnato al sito interessato:
   
3. Clicca su Certificati SSL nel menu laterale sinistro.
4. Clicca sul pulsante blu Installa un certificato:
   
5. Scegli il certificato personalizzato.
6. Clicca sul pulsante Avanti:
   
7. Importa il tuo certificato e chiave privata, tramite importazione dei file .crt e .key o tramite copia-incolla.
8. Clicca su Completa:
   

Comando alternativo per generare un certificato auto-firmato (facoltativo)

Se desideri un certificato locale solo per test o senza passare attraverso una CA (non raccomandato per la produzione), puoi utilizzare questo comando:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Questo genera sia un certificato auto-firmato (domain.xyz.crt) che una chiave privata (domain.xyz.key). Tuttavia, i certificati auto-firmati non sono riconosciuti come validi dai browser o dai sistemi pubblici. Sono adatti solo per ambienti interni o di sviluppo.

Importare un certificato intermedio

Durante l'aggiunta di un certificato SSL personalizzato, è possibile importare il certificato intermedio (tramite importazione del file .crt o copia-incolla dei dati forniti dall'organismo di certificazione):

Questa guida spiega come generare una richiesta di certificato (CSR) per un nome di dominio e tutti i suoi sottodomini con un Hosting Web (esclusi gli hosting gratuiti di tipo Starter).

Impostare un certificato Wildcard

1. Aggiungere un alias di dominio con asterisco *

Per aggiungere un alias di tipo * al tuo sito Web:

1. Clicca qui per accedere alla gestione del tuo sito sul Manager Infomaniak (hai bisogno di aiuto?).
2. Clicca direttamente sul nome assegnato al sito interessato:
   
3. Clicca poi sulla freccia ‍ per espandere la sezione Domini di questo sito.
4. Clicca sul pulsante Aggiungi un dominio:
   
5. Inserisci il nome di dominio da aggiungere in questa forma:
   • *.domain.xyz (l'asterisco è indispensabile, seguito da un punto, poi dal nome di dominio del sito web che in questo esempio è domain.xyz)
6. Clicca sul pulsante Conferma per completare la procedura:
   

2. Installare un certificato SSL o aggiornarlo

Esempio di aggiornamento del certificato esistente per includere il sottodominio * wildcard:

1. Clicca qui per accedere alla gestione del tuo sito sul Manager Infomaniak (hai bisogno di aiuto?).
2. Clicca direttamente sul nome assegnato al sito interessato.
3. Clicca su Certificato SSL nel menu laterale sinistro.
4. Clicca sul menu di azione ⋮ situato a destra.
5. Clicca su Aggiorna il certificato:
   
6. Assicurati che il sottodominio appena aggiunto sia selezionato.
7. Clicca sul pulsante Installa in basso:
   
8. Attendere la creazione o l'aggiornamento.

Questa guida spiega come installare un certificato SSL gratuito di Let's Encrypt su un sito web ospitato da Infomaniak.

Premessa

• Una volta installato il certificato, il tuo sito web sarà accessibile in http e https …
  • Se necessario reindirizza automaticamente tutti i tuoi visitatori sul sito https sicuro.
• Se desideri includere un nome di dominio alias recentemente aggiunto al tuo sito che possedeva già un certificato, è necessario aggiornarlo.
• Per più sottodomini, consulta questa altra guida.
• Let's Encrypt limita l'installazione dei certificati a:
  • 100 sottodomini
  • 20 certificati per 7 giorni per dominio registrato
  • 5 richieste non riuscite per account per nome host per ora

Installare un certificato SSL gratuito su un sito

Prerequisiti

• Per consentire l'installazione, i DNS del nome di dominio devono essere configurati correttamente per puntare al sito in questione.
• Se è stato appena apportato un cambiamento a questo livello, alcune operazioni potrebbero non essere immediatamente funzionanti.

Per accedere ai siti web e installarvi un certificato SSL:

1. Clicca qui per accedere alla gestione del tuo prodotto sul Manager Infomaniak (hai bisogno di aiuto?).
2. Clicca direttamente sul nome attribuito al prodotto interessato:
   
3. Clicca su Configura sotto Certificato SSL:
   
4. Clicca sul pulsante Installa un certificato:
   
5. Seleziona il certificato gratuito.
6. Clicca sul pulsante Avanti:
   
7. Verifica o seleziona i domini interessati.
8. Clicca sul pulsante Installa:
   
9. Attendi qualche minuto fino all'ottenimento del certificato sul sito.

Questa guida suggerisce soluzioni per risolvere i problemi comuni e gli errori frequenti che possono verificarsi quando si tenta di visualizzare il proprio sito Web in https dopo aver attivato un certificato SSL.

Il browser Web visualizza automaticamente la versione http del sito quando si tenta di accedervi in https

Si consiglia di eseguire le seguenti azioni:

• Svuotare la cache delle applicazioni o del sito.
• Verificare che le pagine e gli script del sito non contengano reindirizzamenti alla versione http del sito.
• Verificare che il file .htaccess del sito non contenga reindirizzamenti alla versione http del sito.
• Impostare l’indirizzo https del sito come predefinito:
  • con WordPress Infomaniak
  • per gli altri casi

Il sito Web viene visualizzato male (immagini mancanti, fogli di stile non supportati, ecc.) o visualizza un avviso nella barra degli indirizzi

Si consiglia di eseguire le seguenti azioni:

• Svuotare la cache delle applicazioni o del sito.
• Verificare che le pagine e gli script non puntino a risorse esterne in http; il sito whynopadlock.com può aiutarvi a identificare gli elementi non sicuri del vostro sito.
• Prendere anche visione di questa altra guida in merito.

"Questa pagina Web presenta un loop di reindirizzamento", "ERR_TOO_MANY_REDIRECTS"

Se il browser Web visualizza questo errore, si consiglia di eseguire le seguenti azioni:

• Se il sito funziona con un'applicazione Web come WordPress o Joomla, disattivare le estensioni una per una per identificare quella che causa problemi.
• Verificare che le pagine e gli script del sito non contengano reindirizzamenti alla versione http del sito.
• Provare a disattivare HSTS.
• Se viene utilizzato Prestashop, è necessario attivare il SSL su tutte le pagine:
  1. Aggiungere il dominio SSL:
     • Andare in Preferenze > SEO & URL.
     • Nella sezione "URL del negozio", inserire l'indirizzo del sito nel campo "Dominio SSL" (senza il https://, solo www.domain.xyz).
  2. Attivare il SSL:
     • Andare in Preferenze > Impostazioni generali.
     • In alto nella pagina, fare clic su "Clicca qui per utilizzare il protocollo HTTPS prima di attivare la modalità SSL."
     • Si aprirà una nuova pagina con il sito in versione sicura HTTPS.
  3. Forzare l'uso del SSL su tutto il sito:
     • Tornare in Preferenze > Impostazioni generali.
     • Impostare l'opzione "Attivare il SSL" su SÌ.
     • Impostare anche "Forzare l'uso di SSL per tutte le pagine" su SÌ.

Viene visualizzato un vecchio certificato SSL - svuotare la cache SSL

I browser Web memorizzano nella cache i certificati SSL per accelerare la navigazione. Normalmente, non è un problema. Tuttavia, quando si sviluppano pagine per il proprio sito web o si installa un nuovo certificato, lo stato SSL del browser può essere d'intralcio. Ad esempio, potrebbe non essere visualizzata l'icona del lucchetto nella barra degli indirizzi del browser dopo aver installato un nuovo certificato SSL.

La prima cosa da fare in questo caso è assicurarsi che il dominio punti all'indirizzo IP del server (registrazioni A e AAAA) e se viene comunque restituito il certificato SSL sbagliato, svuotare la cache SSL:

• Chrome: andare nelle Impostazioni e fare clic su Impostazioni. Fare clic su Mostra impostazioni avanzate. In Rete, fare clic su Modifica impostazioni proxy. Si apre la finestra di dialogo Proprietà Internet. Fare clic sulla scheda Contenuto. Fare clic su Cancella stato SSL, quindi fare clic su OK. Prendere visione di altre piste in questa altra guida.
• Firefox: andare in Cronologia. Clicca su Cancella cronologia recente quindi seleziona Connessioni attive e clicca su Cancella ora.

Perdita di formattazione CSS

Se il sito web viene visualizzato senza stile CSS, analizza il caricamento delle pagine con la Console del browser. Potrebbero esserci errori di contenuto misto (mixed content) relativi ai tuoi stili .css, che dovranno essere risolti affinché vengano caricati correttamente.

Cloudflare

Se utilizzi Cloudflare, consulta questa altra guida sull'argomento.

Questa guida spiega come disinstallare un Certificato SSL indipendentemente dal suo tipo, inizialmente installato tramite il Manager Infomaniak. Se il vostro certificato è di tipo a pagamento e desiderate invece annullare l'offerta in corso, consultate questa altra guida.

Rimuovere un certificato SSL

Per disinstallare un certificato Infomaniak:

1. Clicca qui per accedere alla gestione del tuo certificato SSL sul Manager Infomaniak (hai bisogno di aiuto?).
2. Clicca direttamente sul nome attribuito al prodotto interessato:
   
3. Clicca sul menu delle azioni ⋮ situato a destra dell'elemento interessato.
4. Clicca su Disinstalla:
   
5. Conferma la disinstallazione del certificato.

Questa guida dettaglia le condizioni e la procedura per ottenere un certificato SSL EV di Sectigo tramite Infomaniak.

Premessa

• I certificati SSL a validazione estesa (EV) sono esclusivamente riservati alle organizzazioni, imprese e entità legalmente registrate presso un'autorità governativa riconosciuta (come un registro delle imprese).
  • I certificati DV di Sectigo e Let's Encrypt non sono soggetti a questa limitazione.
  • Confronta i certificati SSL disponibili
• In caso di difficoltà durante la validazione di un certificato DV o EV, consulta questa altra guida.

Procedura di validazione dei certificati EV

L'ottenimento di un certificato SSL EV può richiedere fino a 24 ore e si basa sull'accuratezza delle informazioni fornite dal cliente.

Questa procedura viene rinnovata a intervalli regolari (consulta questa altra guida per ulteriori dettagli), indipendentemente dalla durata dell'abbonamento scelta per il certificato.

1. Verifica delle coordinate dell'azienda

I dati integrati nel certificato devono essere preventivamente verificati presso una fonte indipendente:

• Ragione sociale (nome legale) o nome commerciale
• Forma giuridica
• Indirizzo fisico della sede
• Codice postale
• Regione / Cantone / Dipartimento
• Paese / Codice paese

Punti di attenzione:

• La ragione sociale deve corrispondere esattamente a quella registrata nel registro delle imprese; la richiesta potrà essere elaborata solo se il nome è ufficialmente registrato.
• È consentito solo il nome legale o il nome del marchio seguito dal nome legale tra parentesi [es: Nome commerciale (Nome legale)]. Per le entità senza una ragione sociale distinta, può essere utilizzato il nome commerciale.
• L'uso di una semplice casella postale (BP) è vietato; è richiesta un'indirizzo fisico.

Tenuto conto di questi requisiti, a volte è necessaria una nuova richiesta con i dati corretti nel CSR. Infomaniak potrebbe anche richiedere la tua approvazione per modificare le informazioni trasmesse durante l'ordine.

2. Verifica dei dati nell'elenco WHOIS

L'elenco WHOIS registra le informazioni del proprietario di un nome di dominio. Questi dati devono corrispondere alle informazioni fornite al momento dell'ordine del certificato SSL EV.

Per aggiornare le informazioni WHOIS di un dominio:

• Se il tuo dominio è gestito da Infomaniak, consulta questa altra guida.
• Se il tuo dominio è gestito da un altro fornitore, contatta il tuo registrar attuale.

3. Firma del contratto e validazione finale

Una volta completato l'ordine del certificato EV, la persona di contatto designata riceverà un'e-mail dall'autorità di certificazione Sectigo contenente i seguenti documenti:

• Il modulo di richiesta del certificato
• Il contratto di sottoscrizione

Questi documenti sono precompilati. La validazione avviene online tramite un codice di verifica trasmesso oralmente da un sistema di chiamata automatizzato di Sectigo (di solito dal numero olandese +31 88 775 77 77).

La chiamata viene effettuata al numero di telefono ufficialmente registrato presso il registro del commercio.

Ogni richiesta di certificato è soggetta a una validazione telefonica, inclusi i rinnovi e le riemissioni di certificati multi-dominio.

4. Verifica del dominio (siti esterni solo)

Questa fase conferma il tuo controllo sul dominio interessato (se questo non è ospitato da Infomaniak - i domini che puntano a siti ospitati da Infomaniak beneficiano di una validazione automatica).

Ogni dominio o sottodominio deve essere approvato individualmente secondo uno dei metodi descritti in questa altra guida.

Questa guida dettaglia le condizioni e la procedura per utilizzare un certificato Sectigo Infomaniak su un sito ospitato altrove, presso un provider di hosting di terze parti.

Premessa

• Avete la possibilità di usufruire delle tariffe vantaggiose di Infomaniak per i vostri certificati SSL, gestendo i vostri siti presso un altro provider di hosting.

Installare un certificato Sectigo

A causa dei diversi fornitori, l'installazione del vostro certificato non sarà automatica:

1. Ottenere il CSR

Esportate il file di configurazione CSR dal vostro provider di hosting e inseritelo nell'ordine del vostro certificato su Infomaniak.

2. Confermare la proprietà del dominio

Convalidare i domini inclusi nel certificato tramite una delle seguenti modalità:

• Inserimento di un codice di validazione ricevuto a uno dei seguenti indirizzi email (l'indirizzo email completo deve esistere nel dominio da convalidare, ad esempio “domain.xyz”):
  • admin@domain.xyz
  • administrator@domain.xyz
  • hostmaster@domain.xyz
  • postmaster@domain.xyz
  • webmaster@domain.xyz
• Creazione di un record CNAME unico nei DNS del dominio.
• File di validazione txt da caricare tramite FTP sul vostro sito.

Questa guida spiega le principali differenze tra un certificato EV e DV.

Certificati SSL EV: per le società

Il certificato SSL EV di Sectigo può essere rilasciato solo alle aziende registrate in un registro ufficiale.

Garantisce il più alto livello di fiducia da parte dei vostri clienti e offre vantaggi unici oltre a includere i benefici di un certificato DV:

• nome della tua azienda nella barra di navigazione
• lucchetto nella barra di navigazione
• sigillo di sito sicuro dinamico
• validazione del tuo nome di dominio
• autenticazione manuale delle coordinate e dell'identità della tua azienda
• garanzia fino a $1.750.000 per gli utenti finali
• supporto 7/7

L'attivazione di un certificato SSL EV può richiedere fino a 24 ore e richiederà azioni da parte tua.

Certificati SSL DV: per società e privati

Il certificato DV di Sectigo è aperto a privati e aziende. Non include alcuni vantaggi menzionati sopra, ma offre benefici aggiuntivi rispetto ai certificati SSL gratuiti di Let's Encrypt:

• sigillo di sito sicuro dinamico
• validazione del tuo nome di dominio
• garanzia fino a $10.000 per gli utenti finali
• supporto 7/7

L'attivazione di un certificato SSL DV è immediata.

E i certificati Let's Encrypt?

Un certificato gratuito di Let's Encrypt garantisce lo stesso livello di crittografia di un certificato EV o DV. Tuttavia, i certificati di Let's Encrypt non offrono i seguenti benefici:

• validazione manuale delle coordinate e dell'autenticità della tua azienda (EV)
• garanzia per gli utenti finali in caso di frode (EV/DV)
• supporto in caso di domande

In sintesi, i certificati di Let's Encrypt garantiscono il ciframento degli scambi tra i tuoi utenti e il tuo sito, ma non assicurano agli utenti che si trovano su un sito legittimo la cui identità è stata autenticata da un'autorità di certificazione.

La garanzia Sectigo è un impegno finanziario di Sectigo, l'Autorità di Certificazione (AC), volto a proteggere l'utente finale.

Si applica solo se l'utente subisce una perdita finanziaria a causa di un errore di validazione di Sectigo durante l'emissione del certificato.

Non copre le vulnerabilità di sicurezza del tuo server o le configurazioni errate da parte tua.

Più il livello di validazione è elevato (DV < OV < EV), più l'importo della garanzia Sectigo è generalmente elevato.

Grazie per aver scelto Infomaniak per sicurizzare i tuoi siti con un certificato SSL EV o DV di Sectigo.

Principali guide SSL

• Acquistare un certificato SSL EV di Sectigo
• Comprendere la differenza tra certificato EV e DV
• Utilizzare un certificato Sectigo su un sito esterno (altro hosting)
• Comprendere la garanzia Sectigo dei Certificati SSL
• Risolvere un problema legato a SSL/https
• Installare un certificato SSL gratuito Let's Encrypt su un sito
• Installare un certificato SSL "wildcard" gratuito
• Disinstallare un certificato SSL
• Aggiornare un certificato SSL Let's Encrypt (ad esempio dopo aver aggiunto/rimosso degli alias)

Assistenza aggiuntiva

• Consulta tutte le FAQ su SSL
• Contattare l'assistenza Infomaniak

Questa guida spiega come aggiungere un timbro di fiducia dinamico su un sito sicuro con un certificato SSL di Sectigo.

Premessa

• Infomaniak, in qualità di hosting provider, offre certificati SSL per proteggere i siti web dei propri clienti
• Sectigo (precedentemente noto come Comodo) è un fornitore di certificati SSL riconosciuto che offre diversi livelli di sicurezza
• Il "timbro di fiducia dinamico", o "Sectigo Trust Seal" / "Sectigo Trust Logo" è un elemento visivo che i proprietari di siti web possono visualizzare sulle loro pagine per indicare ai visitatori che la loro connessione è sicura, un segno di fiducia che informa gli utenti che le transazioni e lo scambio di informazioni effettuati sul sito sono crittografati e protetti da un certificato SSL emesso da Sectigo.
• Utilizzando un certificato SSL di Sectigo e visualizzando il timbro di fiducia dinamico, un sito web su Infomaniak beneficia non solo della protezione delle comunicazioni, ma anche di un aumento della fiducia degli utenti, essenziale per il commercio elettronico e per la protezione delle informazioni personali.

Aggiungere un timbro di fiducia

Ecco come funziona un timbro di fiducia dinamico:

1. Validazione : per ottenere un tale timbro, il proprietario del sito deve prima ottenere un certificato SSL valido da Sectigo, il che richiede un processo di validazione; a seconda del livello di certificato scelto (Domain Validation - DV, Organization Validation - OV o Extended Validation - EV), questa validazione può essere più o meno approfondita
2. Installazione : una volta ottenuto e installato il certificato SSL sul server web di Infomaniak, il sito web è quindi in grado di stabilire connessioni sicure in HTTPS
3. Visualizzazione del timbro : Sectigo fornisce un codice HTML o uno script che il proprietario del sito può quindi integrare nel proprio sito web; questo codice consente di visualizzare il timbro di fiducia dinamico di Sectigo
4. Aggiornamento : il timbro viene spesso aggiornato in tempo reale per riflettere la situazione attuale del certificato SSL; se il certificato dovesse scadere o essere revocato, il timbro lo rifletterebbe anche, avvertendo così i visitatori potenziali che il sito potrebbe non essere più sicuro
    

Il timbro di fiducia è composto da un'immagine e da un codice HTML. Quest'ultimo funziona solo se un certificato Sectigo è installato sul sito e genera in tal caso un logo interattivo che visualizza i dati del certificato.

Salvare una delle immagini seguenti

Fare clic con il tasto destro del mouse sull'immagine da salvare, quindi fare clic su Salva immagine con nome...

• Piccolo
• Medio
• Grande

Caricare l'immagine sul proprio sito

Inviare l'immagine sul server web (via FTP o CMS) e prendere nota dell'URL di accesso a questa immagine per il passaggio successivo (ad esempio https://domain.xyz/wp-content/uploads/sectigo.png).

Ottenere il codice da integrare nelle tue pagine

Inserisci l'indirizzo completo della tua immagine sulla pagina https://www.trustlogo.com/install/index2.html per verificare se l'immagine è raggiungibile.

Clicca sul pulsante Continua sulla stessa pagina per ottenere i 2 codici da copiare e incollare nell'intestazione della tua (o delle tue) pagina(e) Web:

Importante:

• Nel codice, CL1 corrisponde a un certificato SSL DV ; sostituisci CL1 con SC5‍ per un certificato SSL di tipo EV.

Questa guida dettaglia le regole di validità dei certificati SSL EV e DV, in seguito alle ultime direttive del settore della cybersicurezza.

Durata di validità dei certificati SSL

Su impulso del CA/B Forum (che riunisce i principali attori del Web come Apple, Google e Mozilla) e al fine di rafforzare la sicurezza globale degli scambi, la durata di validità massima dei certificati SSL è stata ridotta. Dalla metà di marzo 2026, ogni nuovo certificato emesso da Sectigo ha una durata di validità massima di 200 giorni (circa 6 mesi), rispetto ai 397 giorni precedenti.

Questa riduzione del ciclo di vita dei certificati mira a limitare i rischi legati al pirataggio e a garantire che le informazioni di identità delle aziende siano verificate più frequentemente. Questa modifica non influisce né sul prezzo, né sulla durata di impegno del vostro prodotto.

Certificati SSL DV di Sectigo

Per i certificati SSL DV (Validazione di Dominio), Infomaniak garantisce un rinnovo automatico ogni 6 mesi (il nuovo certificato viene generato durante il mese precedente la sua scadenza).

• Se il vostro sito è ospitato da Infomaniak: l'installazione del nuovo certificato è completamente trasparente e automatica.
• Se il vostro sito è ospitato al di fuori di Infomaniak: dovrete procedere alla reinstallazione manuale del certificato sul vostro server ad ogni rinnovo (ogni 6 mesi).

Certificati SSL EV di Sectigo

A causa del loro livello di sicurezza superiore, i certificati SSL EV (Validazione Estesa) richiedono una validazione manuale dell'azienda ogni 6 mesi, indipendentemente dalla durata dell'abbonamento scelta.

• Questa procedura implica una nuova verifica dei vostri dati e una chiamata di validazione (come descritto in questa altra guida).
• Come per i certificati DV, una reinstallazione manuale è imperativa se il certificato è utilizzato su un server esterno a Infomaniak.

Questa guida spiega come risolvere un problema di installazione di certificato SSL (Let's Encrypt o Sectigo) se si utilizza Cloudflare con regole di sicurezza rigorose, come il filtraggio per paese o indirizzi IP.

Adattare le impostazioni SSL / geoblocking

Quando viene richiesto un certificato SSL tramite Infomaniak (Let's Encrypt gratuito o Sectigo), l'autorità di certificazione deve verificare che siate effettivamente proprietari del dominio. Questa verifica può essere effettuata tramite HTTP (tramite file speciali posizionati sul vostro sito), DNS o e-mail:

• Let's Encrypt utilizza /.well-known/acme-challenge/.
• Sectigo utilizza generalmente /.well-known/pki-validation/ (o DNS / e-mail a seconda dell'opzione scelta).

Se queste verifiche falliscono (ad esempio perché Cloudflare blocca l'accesso), il certificato non può essere rilasciato o rinnovato. Tuttavia, Let's Encrypt non verifica più solo da un unico luogo. Da un certo tempo (e ancora di più da marzo 2024), effettua le sue verifiche da diversi paesi contemporaneamente – inclusi nuovi come la Svezia o Singapore. Risultato: se uno di questi paesi è bloccato dalle vostre impostazioni Cloudflare, la richiesta di certificato può fallire, anche se tutto il resto è configurato correttamente.

Ancora peggio: anche se si tenta di fare un'eccezione solo per l'indirizzo della sfida (.well-known/acme-challenge), questo non funziona sempre con alcune regole Cloudflare. Infatti, le regole di blocco per paese o IP vengono applicate prima di qualsiasi eccezione basata sui percorsi URL.

Regolare la modalità SSL/TLS

In Cloudflare, utilizzate la modalità Full o Full (strict). Queste modalità tollerano temporaneamente un certificato scaduto o auto-firmato, fino a quando la validazione non viene completata:

Autorizzare i percorsi di validazione

Evitate le "IP Access Rules" bloccanti e preferite delle "Custom Rules" che autorizzano senza restrizioni i percorsi:

• /.well-known/acme-challenge/ (Let's Encrypt)
• /.well-known/pki-validation/ (Sectigo)

Disattivare temporaneamente il geoblocking

Se necessario, disattivate temporaneamente il blocco geografico o IP per il tempo della validazione, quindi riattivate le vostre protezioni dopo l'emissione o il rinnovo del certificato.

Questa guida spiega come aggiungere due Certificati SSL EV o DV diversi sullo stesso sito.

Premessa

• Poiché non è possibile installare due certificati SSL sullo stesso sito, è necessario creare due siti identici.

Creazione del secondo sito

Prerequisiti

• Rimuovere eventuali nomi di dominio alias dal tuo sito.

Per accedere all'hosting Web e aggiungere un sito:

1. Clicca qui per accedere alla gestione del tuo prodotto su Infomaniak Manager (hai bisogno di aiuto?).
2. Clicca direttamente sul nome attribuito al prodotto interessato.
3. Clicca sul pulsante Aggiungi un sito:
   
4. Continua senza installare strumenti:
   
5. Clicca su Apache e scegli la stessa versione PHP del sito principale::
   
6. Scegli tra l'utilizzo di un nome di dominio o di un sottodominio.
7. Indica il nome del dominio o del sottodominio.
8. Clicca su Opzioni avanzate.
9. Attiva (o meno) il certificato SSL Let's Encrypt sul futuro sito.
10. Spunta la casella Definisci la posizione manualmente.
11. Scegli la stessa posizione del sito principale:
    
12. Clicca sul pulsante blu Avanti per avviare la creazione del sito.

Installare il certificato SSL

Una volta che il secondo sito è creato (ogni aggiunta/modifica può richiedere fino a 48 ore per propagarsi), sarà possibile installare un certificato SSL (se avete scelto di non installare il certificato al punto 9 sopra).

Per accedere alla gestione del sito Web:

1. Clicca qui per accedere alla gestione del tuo prodotto su il Manager Infomaniak (hai bisogno di aiuto?).
2. Clicca direttamente sul nome attribuito al prodotto interessato.
3. Clicca su Certificati SSL nel menu laterale sinistro.
4. Clicca sul pulsante blu Installa un certificato SSL e segui la procedura.

Questa guida si rivolge a voi se riscontrate problemi con un certificato SSL Sectigo di tipo DV o EV.

Modifica Sectigo (giugno 2025)

Da giugno 2025, Sectigo utilizza una nuova infrastruttura di validazione chiamata MPIC, che effettua le verifiche necessarie per l’emissione dei certificati SSL (in particolare EV e OV) da server situati in tutto il mondo, e non solo dagli Stati Uniti.

Un controllo è un metodo utilizzato dall’autorità di certificazione per verificare che il richiedente controlli effettivamente il dominio. Questo può avvenire tramite una richiesta HTTP, un record DNS o un’e-mail. Per i certificati EV e OV, questo controllo è combinato con verifiche sull’identità dell’organizzazione.

Con questo nuovo metodo, le richieste di validazione possono provenire da qualsiasi paese o fornitore di accesso. Se il vostro sito o server utilizza regole di geoblocco, un firewall applicativo (WAF) o un servizio come Cloudflare con restrizioni di accesso per paese o ASN, queste verifiche rischiano di essere bloccate, causando un fallimento nella validazione.

Anche se Sectigo parla principalmente dei certificati OV e EV, questa evoluzione può influenzare indirettamente anche i certificati DV, poiché la validazione del dominio si basa sempre sulla possibilità di accedere alle risorse necessarie.

Questa guida vi aiuta a diagnosticare e risolvere l'errore "La vostra connessione non è privata" (o NET::ERR_CERT_AUTHORITY_INVALID). Questo avviso di sicurezza può riguardare sia i visitatori di un sito che i suoi amministratori.

Premessa

• Questo avviso è un meccanismo di protezione del vostro browser. Indica che una connessione sicura non è riuscita a essere stabilita con il server per una delle seguenti ragioni:
  • Il sito non possiede un certificato di sicurezza SSL/TLS.
  • Il certificato installato è scaduto o configurato in modo errato.
  • La connessione tra il vostro dispositivo e il server è intercettata o disturbata.
• Attenzione: Su un sito che presenta questo errore, i dati che inserite (password, numeri di carta) non sono cifrati e possono essere intercettati da terzi.

Soluzioni per i visitatori

Se riscontrate questo errore su un sito che non gestite, il problema può talvolta provenire dalla vostra configurazione. Ecco i punti da verificare:

• Verificate l'ora del vostro dispositivo: Se il vostro computer o smartphone non è alla data/ora corretta, la validazione del certificato fallirà sistematicamente.
• Testate la navigazione in incognito: Se l'errore scompare, svuotate la cache e i cookie del vostro browser.
• Verificate la vostra rete: Evitate le reti Wi-Fi pubbliche che possono forzare i propri portali di connessione.
• Antivirus e Firewall: Alcuni software di sicurezza analizzano le connessioni HTTPS e possono provocare falsi positivi.

Soluzioni per i proprietari di un sito Infomaniak

Se siete l'amministratore del sito, dovete assicurarvi che il vostro certificato SSL sia attivo e valido per coprire l'interezza dei vostri nomi di dominio.

1. Il certificato SSL è installato?

Se il vostro sito è ancora in HTTP, dovete generare un certificato (gratuito tramite Let's Encrypt o a pagamento). Informatevi sui certificati disponibili presso Infomaniak.

Importante: Se avete aggiunto degli alias (nomi di dominio secondari) al vostro sito dopo l'installazione del SSL, dovete aggiornare il certificato per includerli.

2. Verificare la validità e la scadenza

Presso Infomaniak, i certificati si rinnovano automaticamente, ma può verificarsi un blocco tecnico. Per verificare lo stato del vostro certificato:

1. Clicca qui per accedere alla gestione dei tuoi certificati nel Manager (hai bisogno di aiuto?).
2. Verifica lo stato e la data di scadenza nel cruscotto:
   

3. Forzare il HTTPS e correggere il "Contenuto Misto"

Se il tuo certificato è valido ma l'errore persiste (o il lucchetto non è verde), è possibile che il tuo sito carichi ancora elementi (immagini, script) in HTTP. Per correggere questo, consulta questa altra guida.