Comprendere i certificati SSL

Informazioni importanti sull'SSL e sui passaggi per modificare le impostazioni SSL in base alle proprie esigenze di sicurezza.

Tutti i domini aggiunti correttamente al tuo sito Squarespace sono protetti automaticamente con certificati SSL gratuiti per migliorarne la sicurezza. La tecnologia SSL protegge le connessioni e impedisce agli hacker di assumere la tua identità o rubare le informazioni dei visitatori.

Questa guida spiega come selezionare le impostazioni SSL in base a ciò di cui hai bisogno e contiene altre informazioni importanti da sapere sul tuo certificato SSL. Se viene visualizzato un avviso sulla sicurezza del tuo sito, prova questa procedura per la risoluzione dei problemi.

Guarda un video

Requisiti obbligatori

I certificati SSL sono inclusi automaticamente per:

• Domini Squarespace (registrati o trasferiti in Squarespace)
• Domini di terze parti connessi
• Sottodomini
• Domini integrati

Se la connessione al dominio non è configurata correttamente, i certificati SSL non funzioneranno. Per assicurarti che il dominio abbia i requisiti per ottenere un certificato SSL:

• Se utilizzi un dominio di terze parti, devi connetterlo correttamente. Per verificare la presenza di problemi che impediscono l'applicazione del protocollo SSL per il tuo dominio, controlla i record DNS in Squarespace.
• Se utilizzi un dominio Squarespace, il dominio deve puntare a un sito Squarespace. Se il tuo dominio o sottodominio si allontana da Squarespace, contatta invece l'host del tuo sito Web in merito a un certificato SSL.

I nomi di dominio devono essere di lunghezza pari o inferiore a 63 caratteri per ricevere un certificato SSL.

Scegliere le impostazioni SSL

Il protocollo SSL è abilitato automaticamente. Non è necessaria alcuna configurazione. Se hai esigenze di sicurezza più complesse, potresti dover modificare altre impostazioni.

Per scegliere un'impostazione SSL:

1. Apri il pannello Strumenti per sviluppatori. (per le pagine parcheggiate, clicca su SSL nel menu principale.)
2. Clicca su SSL.
3. Alla voce Preferenze di sicurezza, scegli le tue impostazioni. Di solito, consigliamo di spuntare Sicuro e la politica HSTS Secure. In situazioni eccezionali, potrebbe essere necessaria l'opzione Non sicuro. Per maggiori informazioni, consulta Informazioni sulle impostazioni SSL.
4. Fai clic su Salva.
5. Il completamento dell'aggiornamento può richiedere fino a 72 ore. Per domini di terze parti che non sono ancora connessi, può essere necessario più tempo.
6. Durante l'elaborazione del certificato, potresti trovare un messaggio di errore nelle impostazioni del dominio. È normale. Se sono trascorse più di 72 ore, segui questi step per la risoluzione dei problemi.

Informazioni sulle impostazioni SSL

Sicuro (consigliato)

"Sicuro" (da preferire) è l'impostazione predefinita necessaria per molti siti, insieme all'abilitazione di HSTS. Alcuni provider di domini e TLD richiedono questa impostazione.

"Sicuro" significa che:

• Dopo l'emissione del certificato, i visitatori verranno sempre reindirizzati alla versione HTTPS, anche se hanno digitato HTTP nel loro browser.
• Le mappe del sito includono link HTTPS.
• I motori di ricerca indicizzano le versioni HTTPS, favorendo la SEO.
• Il tuo sito non verrà caricato nei browser che non supportano SSL.

Sicurezza HSTS

Se stai utilizzando l'impostazione Sicuro, ti consigliamo di mantenere abilitata la politica HSTS Secure. La politica HSTS Secure crittografa la connessione e impedisce a potenziali autori di attacchi di accedere al tuo sito o di spacciarsi per esso.Ti consigliamo di rendere il tuo sito sicuro abilitando HSTS Secure, che ne garantisce  il caricamento sicuro. Inoltre, la presenza di un sito HSTS Secure impedisce il caricamento dei messaggi di errore, come ad esempio "La tua connessione non è privata".

Non sicuro

I domini registrati o connessi prima di ottobre 2016 sono impostati su "Non sicuro". Se decidi di mantenere il sito non sicuro, assicurati che il certificato SSL del dominio sia valido. Non sicuro significa:

• I visitatori possono accedere al tuo sito sia tramite HTTP che tramite HTTPS.
• Le mappe del sito includono link HTTPS.
• I motori di ricerca indicizzano la versione HTTP.

Disabilitare il protocollo HSTS o impostare il sito come Non sicuro potrebbe impedire temporaneamente l'accesso al tuo sito. Chiunque lo abbia visitato mentre il protocollo HSTS era abilitato, non vi avrà accesso fino alla scadenza della politica di sicurezza HSTS, operazione che potrebbe richiedere fino a 72 ore.

Checkout SSL e Commerce

La pagina di pagamento è protetta dal protocollo SSL per tenere al sicuro le informazioni relative alla carta di credito. Nelle pagine di pagamento, assicuriamo la conformità al Livello 1 PCI e utilizziamo la crittografia SSL a 128 bit. La pagina di pagamento è sempre sicura, anche se il tuo sito utilizza l'impostazione SSL Non sicuro.

Se il tuo sito utilizza il piano Commerce Base o Avanzato e l'impostazione SSL Sicuro è selezionata, i visitatori vedranno il tuo dominio personalizzato nell'URL della pagina di pagamento.

Codice personalizzato e avvisi SSL (contenuto misto)

Alcune pagine del tuo sito possono includere del contenuto misto, ossia la pagina viene caricata tramite una connessione HTTPS sicura, ma una parte del suo contenuto viene caricata tramite una connessione HTTP non sicura. I contenuti insicuri possono provenire da contenuti misti come:

• Integrazioni
• Personalizzazioni basate su codice
• Codice personalizzato

Se selezioni l'impostazione "Sicuro", i visitatori potrebbero trovare avvisi del browser quando caricano contenuti misti del tuo sito. Per evitare questo problema, modifica il contenuto misto per risolvere i messaggi di errore e i problemi di caricamento.

Nota: le modifiche al codice personalizzato e ai contenuti misti non rientrano nell'ambito della nostra assistenza. Ciò significa che non possiamo fornire ulteriore assistenza in relazione alla configurazione o alla risoluzione dei problemi. Inoltre, non possiamo garantire la funzionalità o la completa compatibilità del codice inserito con Squarespace. Ciò include il modo in cui funziona con il nostro responsive design, soprattutto relativamente all'aspetto sui dispositivi mobili e al funzionamento su tutti i modelli. Il codice personalizzato potrebbe causare problemi di visualizzazione con i futuri aggiornamenti della nostra piattaforma. Pur non potendo offrire ulteriore assistenza, esistono diverse risorse per indicarti la giusta direzione da seguire:

• Scopri le procedure consigliate per aggiungere codice personalizzato.
• Leggi la nostra guida generale sulle personalizzazioni di terze parti.
• Visita il nostro Forum Squarespace dedicato a clienti e sviluppatori.
• Affidati a uno Squarespace Expert per creare un codice personalizzato per il tuo sito.

Verificare il certificato SSL di un sito

Per verificare se una pagina è protetta da tecnologia SSL, controlla se l'URL inizia con https:// e cerca l'icona di un lucchetto chiuso lì accanto.

Nella maggior parte dei browser, puoi visualizzare i dettagli SSL di un dominio, che possono includere informazioni quali l'autorità di certificazione e la durata della validità del certificato. Per informazioni su come verificare se la connessione di un sito è sicura, visita la documentazione del tuo browser:

• Google Chrome
• Firefox

Dettagli tecnici

Ecco alcuni dettagli tecnici sui nostri certificati SSL:

• Let's Encrypt è l'autorità di certificazione con cui collaboriamo per la fornitura di certificati SSL.
• Crittografia SSL a 2048 bit su tutte le pagine ad eccezione del checkout.
• Versione del protocollo TLS 1.2 per tutte le connessioni HTTPS.
• Il pinning della chiave pubblica HTTP (HPKP) non è attualmente supportato.
• Non hai bisogno di una CSR (Certificate Signing Request, Richiesta di certificato) per ottenere un certificato SSL, li emettiamo automaticamente.

Provider SSL di terze parti

Non supportiamo l'installazione di certificati SSL di terze parti. Se utilizzi un provider SSL di terze parti, come CloudFlare, puoi passare al certificato Squarespace.

Per utilizzare il protocollo SSL di Squarespace, disconnetti il dominio dal provider SSL e connettilo dal provider di dominio oppure trasferiscilo in Squarespace. Una volta che il dominio è completamente connesso e utilizzando i record DNS di Squarespace, genereremo un certificato.

Il traffico HTTPS esistente del sito non sarà disponibile mentre le tue modifiche DNS vengono elaborate e generiamo il certificato. Durante questo periodo, può essere visualizzato un errore di certificato nel tuo pannello SSL.

Domande Frequenti

Che cos'è SSL?

La tecnologia SSL (Secure Sockets Layer) garantisce la sicurezza della connessione fra il tuo browser e il sito Web che stai visitando. Tutti i moderni browser desktop e per dispositivi mobili supportano il protocollo SSL. I siti che utilizzano la tecnologia SSL avranno URL che iniziano con https://.

Quali sono i vantaggi della tecnologia SSL?

La protezione SSL ha molti vantaggi, tra cui:

• Creare fiducia nei visitatori mostrando che le loro informazioni sono al sicuro e crittografate sul tuo sito.
• Impedire agli hacker di rubare i dati dei visitatori inviati attraverso i moduli del tuo sito e la pagina di pagamento, incluse le informazioni personali.
• Può aiutare il tuo sito a caricarsi più velocemente.
• Aiuta con la SEO.

Posso disabilitare la tecnologia SSL?

Non è possibile rimuovere i certificati SSL poiché essi garantiscono la sicurezza del tuo sito e la migliore esperienza ai visitatori. Tuttavia, puoi scegliere l'impostazione Non sicuro, che consente comunque ai visitatori di utilizzare la versione HTTP del sito, anche con il protocollo SSL abilitato.

La tecnologica SSL rallenta il caricamento del mio sito?

L'autenticazione di un certificato e la convalida di un sito che utilizza l'impostazione "Sicuro" possono richiedere qualche secondo in più. Se noti differenze notevoli del tempo di caricamento, utilizza le nostre procedure di risoluzione dei problemi per escludere altri possibili motivi per cui il sito si carica lentamente.

La tecnologia SSL funziona anche per i sottodomini?

Sì. Squarespace genera un certificato per ogni dominio personalizzato e sottodominio collegato al tuo sito. Ciò vale anche per la versione "www" del tuo dominio, se lo stai utilizzando separatamente dal tuo dominio semplice.

Se stai utilizzando il tuo sottodominio come dominio principale, deseleziona l'opzione Usa prefisso WWW per evitare errori di certificato.

Se hai di un dominio di terze parti, assicurati che sia connesso al riquadro Domini del tuo sito e non inoltrato o puntato su un'altra posizione.

Devo impostare il mio SSL su "Sicuro" per mantenere privati i dettagli del mio account?

No. Con qualsiasi impostazione SSL, la password di accesso al sito viene sempre crittografata e verrai reindirizzato automaticamente a una sessione sicura per modificare le informazioni riservate dell'account.

Squarespace 5 include SSL?

Il protocollo SSL è incluso in Squarespace 5. Per maggiori informazioni, visita Squarespace 5 e SSL.

Risoluzione dei problemi

Per maggiori informazioni sugli errori di certificato e altri avvisi relativi a SSL che potresti riscontrare sul tuo sito, visita Risoluzione dei problemi SSL.