Come scegliere il certificato SSL giusto per il tuo sito WordPress

Il certificato SSL è diventato un requisito fondamentale per qualsiasi sito web. Senza SSL, il browser mostra l’avviso “Non sicuro” accanto all’URL, Google penalizza il sito nel posizionamento e i visitatori perdono fiducia. Ma non tutti i certificati SSL sono uguali: esistono opzioni gratuite e a pagamento, con livelli di validazione diversi e funzionalità specifiche per ogni tipo di sito. In questa guida ti aiuto a scegliere il certificato SSL giusto per il tuo sito WordPress e a configurarlo correttamente.

Cos’è un certificato SSL e perché serve

SSL (Secure Sockets Layer, oggi evoluto in TLS) è il protocollo che crittografa la comunicazione tra il browser del visitatore e il server del sito. Quando un sito usa SSL, l’URL inizia con https:// anziché http:// e il browser mostra l’icona del lucchetto nella barra degli indirizzi.

La crittografia SSL protegge tutti i dati scambiati: credenziali di login, dati personali inseriti nei form, informazioni di pagamento su e-commerce e qualsiasi altra comunicazione. Senza SSL, questi dati viaggiano in chiaro sulla rete e possono essere intercettati. Dal 2018, Google Chrome mostra esplicitamente l’avviso “Non sicuro” per i siti senza SSL, e dal 2014 Google usa HTTPS come fattore di ranking SEO. Non avere SSL oggi significa perdere visitatori, posizionamento e credibilità.

Let’s Encrypt: il certificato gratuito

Let’s Encrypt è un’autorità di certificazione no-profit che offre certificati SSL gratuiti, automatizzati e riconosciuti da tutti i browser. La maggior parte degli hosting moderni include l’attivazione di Let’s Encrypt con un clic dal pannello di controllo (Plesk, cPanel, DirectAdmin).

I vantaggi di Let’s Encrypt sono evidenti: è completamente gratuito, il rinnovo è automatico ogni 90 giorni e offre la stessa crittografia dei certificati a pagamento. Per un blog, un sito vetrina o un piccolo sito aziendale, Let’s Encrypt è più che sufficiente. Non c’è alcuna differenza nella sicurezza della crittografia rispetto a un certificato a pagamento — la protezione dei dati è identica.

I limiti di Let’s Encrypt riguardano il tipo di validazione: offre solo la validazione del dominio (DV), il livello base che verifica solo che tu controlli il dominio. Non mostra il nome della tua azienda nel certificato e non offre garanzie finanziarie in caso di problemi con la crittografia. Per la maggior parte dei siti WordPress, questi limiti sono irrilevanti.

Certificati DV, OV e EV: le differenze

I certificati SSL si distinguono per il livello di validazione dell’identità del richiedente:

• Domain Validation (DV): il livello base. L’autorità di certificazione verifica solo che tu controlli il dominio, solitamente tramite un record DNS o un file sul server. L’emissione è immediata (pochi minuti). È il tipo offerto da Let’s Encrypt e dalla maggior parte dei certificati economici. Ideale per blog, siti vetrina e piccoli siti aziendali.
• Organization Validation (OV): oltre al dominio, l’autorità verifica l’esistenza legale dell’organizzazione richiedente. Il processo richiede 1-3 giorni lavorativi e documentazione aziendale. Il certificato contiene il nome dell’organizzazione, visibile nei dettagli del certificato (ma non nella barra degli indirizzi). Consigliato per siti aziendali che vogliono dimostrare la propria identità.
• Extended Validation (EV): il livello più alto. La verifica è approfondita e include controlli sull’esistenza fisica, legale e operativa dell’azienda. Il processo richiede 1-2 settimane. Storicamente i certificati EV mostravano il nome dell’azienda in verde nella barra degli indirizzi, ma i browser moderni hanno rimosso questa distinzione visiva. Rimane il certificato con il più alto livello di garanzia, consigliato per e-commerce di grandi dimensioni, banche e istituzioni finanziarie.

Certificati Wildcard e Multi-dominio

Oltre al livello di validazione, i certificati si distinguono per la copertura dei domini:

• Certificato singolo: protegge un solo dominio (es. sito.it e www.sito.it). La scelta più comune e economica.
• Certificato Wildcard: protegge il dominio principale e tutti i sottodomini di primo livello (es. *.sito.it copre blog.sito.it, shop.sito.it, app.sito.it). Indispensabile se il tuo WordPress è su un sottodominio o se gestisci un network multisite con sottodomini.
• Certificato Multi-dominio (SAN): protegge più domini completamente diversi (es. sito.it, sito.com, altrosito.it) con un unico certificato. Utile per aziende che gestiscono più siti.

Let’s Encrypt supporta sia i certificati Wildcard che quelli multi-dominio gratuitamente, anche se la configurazione Wildcard richiede la validazione DNS anziché quella HTTP e potrebbe non essere automatizzata su tutti gli hosting.

Quale certificato per il tuo caso

Per semplificare la scelta, ecco le raccomandazioni per i casi più comuni:

• Blog personale o portfolio: Let’s Encrypt gratuito (DV). Non hai bisogno di nulla di più.
• Sito aziendale o professionale: Let’s Encrypt è sufficiente nella maggior parte dei casi. Se vuoi il nome dell’azienda nel certificato per ragioni di immagine, considera un certificato OV (costo: 50-200 euro/anno).
• E-commerce piccolo-medio: Let’s Encrypt funziona perfettamente. I gateway di pagamento (Stripe, PayPal) gestiscono i dati delle carte sui loro server protetti, quindi la sicurezza delle transazioni non dipende dal tipo di SSL del tuo sito.
• E-commerce grande o settore finanziario: certificato OV o EV per massima credibilità istituzionale. Il costo va da 100 a 500 euro/anno.
• WordPress multisite con sottodomini: certificato Wildcard, gratuito con Let’s Encrypt se il tuo hosting supporta la validazione DNS automatizzata.

Configurare SSL in WordPress

Dopo aver attivato il certificato SSL dal pannello hosting, devi configurare WordPress per usare HTTPS. I passaggi sono:

1. Vai su Impostazioni → Generali in wp-admin.
2. Cambia sia “Indirizzo WordPress (URL)” che “Indirizzo del sito (URL)” da http:// a https://.
3. Salva le modifiche. WordPress ti chiederà di effettuare nuovamente il login.
4. Installa il plugin Really Simple SSL (gratuito) che gestisce automaticamente il redirect da HTTP a HTTPS e corregge i contenuti misti (risorse ancora caricate via HTTP).

In alternativa al plugin, puoi aggiungere il redirect nel file .htaccess per forzare HTTPS su tutte le pagine. Ma il plugin è la soluzione più semplice e gestisce anche i casi limite come immagini e risorse esterne.

Problemi comuni dopo l’attivazione SSL

I problemi più frequenti dopo il passaggio a HTTPS:

• Contenuti misti (Mixed Content): il lucchetto non appare perché alcune risorse (immagini, script, CSS) vengono ancora caricate via HTTP. Really Simple SSL risolve la maggior parte dei casi automaticamente. Per i casi residui, usa lo strumento sviluppatori del browser (Console) per identificare le risorse problematiche.
• Redirect loop: se il sito va in loop dopo il cambio a HTTPS, potrebbe esserci un conflitto tra il redirect del plugin e quello del server. Verifica che non ci siano regole duplicate in .htaccess e nel pannello hosting.
• Certificato scaduto: Let’s Encrypt si rinnova ogni 90 giorni. Se il rinnovo automatico fallisce, il sito mostra un avviso di sicurezza. Verifica che il rinnovo automatico sia attivo nel pannello hosting e configura un alert email per le scadenze.

Hai bisogno di aiuto con SSL?

La configurazione SSL può sembrare semplice ma i problemi di contenuti misti, redirect loop e certificati scaduti possono rendere il sito inaccessibile o insicuro. Se hai difficoltà con l’attivazione o la configurazione del certificato SSL sul tuo sito WordPress, il team di SoccorsoWP può configurare tutto correttamente e risolvere eventuali problemi di compatibilità. Apri un ticket e metti in sicurezza la connessione del tuo sito.