Come risolvere l'impossibilità di stabilire una relazione di trust per il canale sicuro SSL/TLS con errore di autorità

Quando viene visualizzato il messaggio "Impossibile stabilire una relazione di fiducia per il canale sicuro SSL/TLS con autorità", segnala un problema tecnico nel canale di comunicazione sicuro tra l'applicazione client e il server. Questo problema è profondamente radicato nel protocollo SSL/TLS, che è la spina dorsale dello scambio sicuro di dati su Internet. SSL (Secure Socket Layer) e TLS (Transport Layer Security) sono protocolli crittografici progettati per garantire la sicurezza delle comunicazioni su una rete di computer.

Il problema si verifica in genere quando l'applicazione client non si fida del certificato SSL/TLS presentato dal server. Ciò potrebbe essere dovuto a diversi motivi, ad esempio il certificato è autofirmato, è scaduto o non è stato emesso da un'autorità di certificazione (CA) attendibile. Per comprendere la complessità di questo problema, è necessario comprendere i meccanismi con cui vengono stabilite le connessioni sicure e il ruolo dei certificati in questo processo. I certificati fungono da passaporti digitali, verificando l'identità del server presso il client, garantendo che l'entità con cui stai comunicando sia effettivamente chi afferma di essere.

Comprendere SSL e TLS

SSL (Secure Sockets Layer) e TLS (Transport Layer Security) fungono da base per proteggere le comunicazioni online. Crittografano i dati e autenticano le connessioni, garantendo che le informazioni sensibili come i dettagli personali e di pagamento rimangano riservate durante la trasmissione tra il browser di un utente e il server di un sito web. Nonostante il loro obiettivo condiviso, è essenziale riconoscere le differenze tra SSL e TLS. In particolare, TLS è una versione aggiornata e più sicura di SSL, progettata per risolvere le vulnerabilità riscontrate nei protocolli SSL precedenti.

La necessità di SSL/TLS per la sicurezza del sito web non può essere sopravvalutata. Il processo inizia quando un utente tenta di accedere al tuo sito; il loro browser verifica prima la validità del tuo certificato SSL. Dopo la convalida, viene stabilita una connessione crittografata, salvaguardando lo scambio di dati da potenziali intercettazioni o manomissioni.

Vari tipi di certificati SSL sono adattati alle diverse esigenze:

Certificati a dominio singolo : ideali per proteggere un sito Web, fornendo una soluzione semplice per i singoli siti.

Certificati jolly : un passo avanti: questi certificati proteggono un singolo dominio insieme ai suoi sottodomini, offrendo una soluzione flessibile per le aziende che gestiscono più fronti di servizi sotto un unico dominio principale.

Certificati jolly multidominio : l'opzione più versatile, perfetta per le organizzazioni con più siti Web e sottodomini.Questo tipo elimina la necessità di certificati separati per ciascun dominio, semplificando la gestione e la distribuzione.

I fornitori di hosting di qualità, riconoscendo l'importanza di SSL/TLS, spesso includono certificati SSL gratuiti come parte dei loro piani di hosting. Questa inclusione rimuove una barriera all’ingresso per l’hosting web sicuro, rendendo più semplice per i proprietari di siti web l’adozione di HTTPS. Ad esempio, provider come 10Web offrono certificati SSL gratuiti di Let's Encrypt e sfruttano l'integrazione di Cloudflare. Tali pacchetti di hosting offrono vantaggi aggiuntivi, come misure di sicurezza avanzate, infrastruttura ottimizzata per la velocità e strumenti avanzati di monitoraggio delle prestazioni.

Per coloro che hanno requisiti specifici o preferiscono un'autorità di certificazione diversa, l'acquisto di un certificato SSL personalizzato da entità attendibili come Comodo o DigiCert è un'altra strada percorribile. Indipendentemente dalla fonte, i passaggi critici successivi all'acquisizione includono l'installazione corretta del certificato SSL sul tuo server e la garanzia che funzioni correttamente per mantenere lo stato sicuro del tuo sito.

In sostanza, l'integrazione di SSL/TLS nel protocollo di sicurezza del tuo sito web non è solo una best practice ma un requisito fondamentale nel panorama digitale odierno. Non solo protegge i dati dei tuoi utenti, ma aumenta anche la credibilità e l'affidabilità del tuo sito agli occhi sia dei visitatori che dei motori di ricerca. Sia che tu scelga la comodità dell'SSL gratuito di un provider di hosting o la personalizzazione di un certificato acquistato, la chiave sta nell'installazione e nella manutenzione diligenti per garantire sicurezza e prestazioni costanti.

Variazioni della questione

Questo problema di relazione di fiducia SSL/TLS può manifestarsi in vari ambienti e piattaforme, inclusi browser Web, client di posta elettronica, connessioni API e qualsiasi software che si basa su connessioni sicure su Internet. Il messaggio di errore potrebbe differire leggermente a seconda del contesto o del software che stai utilizzando, ma la sostanza rimane la stessa. Alcune variazioni comuni includono:

• La connessione sottostante è stata chiusa: impossibile stabilire una relazione di fiducia per il canale sicuro SSL/TLS.
• La relazione di trust tra la workstation e il dominio primario non è riuscita.
• Errore: impossibile stabilire una relazione di fiducia per il canale sicuro SSL/TLS con l'autorità "[Nome autorità]".
• Problema con il certificato SSL: impossibile ottenere il certificato dell'emittente locale.
• La richiesta è stata interrotta: impossibile creare un canale sicuro SSL/TLS.

Motivi per cui si verifica questo errore

Certificato SSL/TLS scaduto : proprio come il tuo passaporto, i certificati SSL/TLS hanno una data di scadenza.Se un certificato è scaduto, il client si rifiuterà di stabilire una connessione sicura con il server.

Certificati autofirmati : per scopi di sviluppo, i server spesso utilizzano certificati autofirmati.Tuttavia, questi non sono considerati attendibili dalle applicazioni client a meno che non vengano aggiunti esplicitamente all'archivio attendibilità, causando questo errore.

Nomi di dominio non corrispondenti : il nome di dominio sul certificato deve corrispondere al nome di dominio a cui si accede.Se c'è una discrepanza, il client contrassegnerà la connessione come inaffidabile.

Certificato non emesso da un'autorità attendibile : i browser e le applicazioni client dispongono di un elenco predefinito di CA attendibili.Se il certificato del server non viene emesso da una di queste autorità, il client non stabilirà una connessione affidabile.

Certificati intermedi mancanti : a volte, il server non riesce a fornire la catena di fiducia completa, omettendo i certificati intermedi.I client che non sono in grado di verificare il percorso completo rifiuteranno la connessione.

Risoluzione dell'errore Impossibile stabilire la relazione di trust

Dopo aver esplorato i motivi tipici alla base dell'errore "Impossibile stabilire una relazione di fiducia per il canale sicuro SSL/TLS con autorità", approfondiamo le strategie per affrontarlo e risolverlo.

Identificazione della causa dell'errore

Innanzitutto, è essenziale identificare la causa principale dell’errore. Il metodo per farlo varia in base al browser attraverso il quale si accede al sito.

Safari

1. Fai clic sul pulsante "Mostra dettagli" quando riscontri l'errore. Questa azione rivela ulteriori informazioni sull'avviso di sicurezza.
2. Selezionare per visualizzare il certificato del sito Web. Questa revisione potrebbe rivelare che il certificato del sito è scaduto o che sta utilizzando un certificato autofirmato, che non è attendibile per impostazione predefinita poiché privo di verifica da parte di terze parti.

Cromo

1. Fare clic sull'avviso "Non sicuro" accanto all'URL del sito Web nella barra degli indirizzi per avere un'idea generale del problema.
2. Per maggiori dettagli, cliccando su “Certificato non valido” si apre un popup con i dettagli del certificato, come le date di emissione e scadenza, e l'Autorità di Certificazione (CA).

Dopo aver individuato la causa principale, è possibile procedere con le seguenti soluzioni:

Aggiorna o installa un certificato attendibile

• Se il problema è dovuto a un certificato autofirmato, valuta la possibilità di sostituirlo con uno emesso da una CA riconosciuta. Ciò garantisce l'affidabilità del browser e protegge il trasferimento dei dati.
• Rinnova il certificato prima della data di scadenza per evitare problemi di attendibilità. Controlla regolarmente la validità dei tuoi certificati per evitare errori imprevisti.

Modifica le impostazioni di sicurezza del tuo browser

Passa alle impostazioni di sicurezza del tuo browser. Anche se non è consigliato per la navigazione quotidiana, puoi scegliere di abbassare temporaneamente le impostazioni di sicurezza per aggirare l'errore. Assicurati tuttavia di comprendere i rischi associati all'accettazione di certificati non verificati.

Risoluzione dei problemi generali

Correggere le impostazioni di data e ora

Uno dei controlli più semplici ma cruciali è garantire che le impostazioni di data e ora del tuo dispositivo siano accurate. Impostazioni errate possono portare a errori di convalida del certificato SSL perché il sistema potrebbe pensare che il certificato sia scaduto quando non lo è.

Mac

Passare a Preferenze di Sistema > Data e ora. Se sono necessarie modifiche, fai clic sull'icona del lucchetto in basso per apportare modifiche. È possibile impostare l'ora automaticamente o manualmente per assicurarsi che sia corretta.

Aggiornamenti del sistema e del browser

Il software obsoleto non rappresenta solo un rischio per la sicurezza, ma può anche causare problemi di compatibilità con i certificati SSL/TLS. Garantire che il sistema operativo e il browser siano aggiornati è fondamentale.

Aggiornamento di macOS

1. Vai su Preferenze di Sistema > Aggiornamento Software.
2. Se è disponibile un aggiornamento, seguire le istruzioni per scaricarlo e installarlo.

Aggiornamento di Google Chrome

1. In Chrome, fai clic sui tre punti in alto a destra per aprire il menu.
2. Passa il mouse sopra Guida e seleziona Informazioni su Google Chrome.
3. Chrome controllerà automaticamente la presenza di aggiornamenti. Se viene trovato un aggiornamento, seguire le istruzioni per installarlo e quindi riavviare il browser.

Questi passaggi sono simili nella maggior parte dei browser, sebbene la navigazione esatta possa variare. Assicurati sempre di utilizzare la versione più recente del tuo software per evitare problemi inutili.

Perché questi passaggi sono importanti

Precisione di data e ora : i certificati SSL/TLS hanno un periodo di validità specifico.Se l'orologio del tuo sistema è impostato in modo errato, può generare erroneamente errori che indicano che un certificato non è ancora valido o è scaduto.

Aggiornamenti software : gli aggiornamenti spesso includono patch di sicurezza e correzioni per problemi noti.L'esecuzione della versione più recente del sistema operativo e del browser garantisce che non si verifichino errori dovuti a vulnerabilità già risolte o problemi di compatibilità.

Soluzioni per errore

La modalità di risoluzione dell'errore dipende da cosa è stato identificato come causa dell'errore. Ecco alcune soluzioni basate su cause comuni.

Mancata corrispondenza del nome

Quando il nome comune sul tuo certificato SSL non corrisponde al dominio che stai tentando di raggiungere, i browser non ti consentiranno di accedere senza le credenziali corrette. Questa mancata corrispondenza è un problema comune ma, fortunatamente, con soluzioni semplici.

Il nome comune del certificato SSL (CN) funge da identità, dicendo al tuo browser che il sito web a cui si sta connettendo è effettivamente chi dichiara di essere. Quando si verifica una mancata corrispondenza, ad esempio, il certificato è perwww.example.com ma stai tentando di accedere a example.com, il browser solleva una bandiera rossa, risultando nell'errore "Impossibile stabilire la relazione di fiducia".

Questo problema sorge spesso a causa del prefisso “www”. Molti utenti potrebbero non includerlo quando digitano un indirizzo web, quindi è fondamentale che il certificato SSL del tuo sito web riconosca entrambi.

Allineamento del tuo certificato SSL con il tuo dominio

Dominio singolo

Se il tuo certificato è valido solo per una versione specifica del tuo dominio (con o senza "www"), ecco cosa devi fare:

1. Innanzitutto, conferma la mancata corrispondenza controllando i dettagli del certificato. La maggior parte dei browser ti consente di visualizzare il certificato facendo clic sull'icona del lucchetto accanto all'URL, dove puoi trovare il nome comune nella sezione dei dettagli o del percorso di certificazione.
2. Contatta la tua autorità di certificazione (CA) o il tuo provider SSL per emettere un nuovo certificato che corrisponda al nome di dominio che gli utenti utilizzeranno con maggiore probabilità. Idealmente, opta per un certificato che copra sia la versione “www” che quella non www del tuo dominio per coprire tutte le basi.

Multidominio

Se disponi della flessibilità di un certificato multidominio, sei in una posizione migliore per risolvere rapidamente questo problema:

I Nomi Alternativi Oggetto (SAN) consentono al tuo certificato di essere valido per più nomi di dominio. Puoi aggiungere la versione "www" del tuo dominio (o rimuoverla) modificando le SAN tramite il pannello di controllo del tuo provider SSL o contattandolo direttamente per ricevere assistenza.

Certificato SSL scaduto

L'utilizzo di un certificato SSL scaduto non solo mette a rischio la tua credibilità, ma può anche esporre i tuoi visitatori ad attività nefaste, incluso il furto di dati. Analizziamo il processo di protezione del tuo sito con un nuovo certificato.

Installazione di un certificato SSL valido

Rinnovare tempestivamente il tuo certificato SSL è fondamentale per mantenere una connessione sicura tra il tuo sito web e i suoi utenti. Ecco come procedere:

1. Rivolgiti all'autorità di certificazione che ha emesso il certificato originale. La maggior parte delle autorità competenti invia avvisi di rinnovo all'avvicinarsi della data di scadenza, ma se la tua non lo ha fatto, prendi l'iniziativa di contattarla direttamente.
2. Prima di poter rinnovare il certificato, potrebbe essere necessario generare una nuova CSR dal tuo server. Questo processo varia a seconda dell'ambiente di hosting, quindi consulta la documentazione del provider di hosting o del server per istruzioni specifiche.
3. Una volta ottenuta la CSR, inviala alla tua CA. Utilizzeranno le informazioni nella CSR per creare un nuovo certificato SSL per il tuo sito web.
4. Dopo che la tua CA ha emesso il nuovo certificato, dovrai installarlo sul tuo server. Ancora una volta, i passaggi esatti dipenderanno dalla configurazione del tuo hosting, quindi fai riferimento alle linee guida del tuo provider o chiedi assistenza al loro team di supporto.

Non dare per scontato che tutto funzioni; verifica che il nuovo certificato sia installato correttamente. Strumenti come SSL Test di SSL Labs possono aiutarti a confermare che il tuo sito è sicuro e che SSL funziona come previsto.

Imposta promemoria per i rinnovi futuri

Dimenticare di rinnovare il certificato SSL può portare a tempi di inattività non necessari e rischi per la sicurezza. Ecco come evitarlo:

• Potrebbe sembrare banale, ma impostare un promemoria sul calendario è un modo efficace per ricordare la data di rinnovo. Imposta il promemoria da qualche settimana a un mese prima della scadenza effettiva, così avrai tutto il tempo per agire.
• A seconda della tua CA, potresti essere in grado di impostare rinnovi automatici per il tuo certificato SSL. Questo servizio automatizza il processo di rinnovo, garantendo che il tuo certificato sia sempre aggiornato senza intervento manuale.
• Utilizza strumenti di monitoraggio che cercano specificamente la validità SSL e ti avvisano quando il tuo certificato si avvicina alla data di scadenza. Alcuni provider di web hosting lo offrono come parte del loro pacchetto di servizi.

Un certificato SSL aggiornato è la tua prima linea di difesa contro alcuni tipi di minacce informatiche. Crittografa i dati trasmessi tra il tuo server e i browser dei tuoi visitatori, salvaguardando le informazioni sensibili dall'intercettazione. Inoltre, rafforza la credibilità del tuo sito, poiché i browser visualizzano avvisi di sicurezza per i siti con certificati scaduti, che possono scoraggiare i visitatori e danneggiare la tua reputazione.

Un monitoraggio regolare e una strategia di rinnovo proattiva sono fondamentali per mantenere questo aspetto essenziale dell'infrastruttura di sicurezza del tuo sito web.

Aggiungi certificato all'archivio attendibile

Quando il browser segnala un avviso di sicurezza a causa di un'autorità di certificazione (CA) non attendibile, aggiungere il certificato all'archivio attendibile è una soluzione alternativa comune, soprattutto negli ambienti in cui la CA è nota per essere sicura (come le reti interne). Diamo un'occhiata a come puoi farlo sia negli utenti Safari per Mac che negli ambienti Windows.

Utenti Safari su Mac

Per i certificati individuali:

1. Passare al sito Web che causa il problema di attendibilità, fare clic sull'icona del lucchetto (o un indicatore di sicurezza simile) accanto all'URL e selezionare "Visualizza il certificato".
2. Nella finestra delle informazioni sul certificato, espandi la sezione "Trust". Qui troverai un menu a discesa per "Quando si utilizza questo certificato". Impostalo su "Fidati sempre".

Per tutti i certificati:

1. Utilizza il punto interrogativo o l'icona "aiuto" nel popup del certificato per avviare direttamente Accesso Portachiavi oppure aprilo manualmente da Applicazioni > Utilità.
2. In Accesso Portachiavi, sotto "Radici di sistema", trova la sezione "Certificati". Qui puoi rivedere tutti i certificati installati.
3. Trova il certificato in questione, fai clic con il pulsante destro del mouse e scegli "Ottieni informazioni". Nella sezione di fiducia di questa finestra informativa, puoi modificare le impostazioni su "Fidati sempre".

Utenti Windows

1. Fai clic sul tasto Windows, digita "mmc" nella barra di ricerca e apri la console.
2. Vai su File > Aggiungi/Rimuovi snap-in, seleziona "Certificati" e fai clic su "Aggiungi". Scegli "Account computer", quindi "Computer locale" e termina con "OK".
3. Passare a "Autorità di certificazione radice attendibili". Fare clic con il tasto destro, selezionare "Tutte le attività", quindi "Importa". L'Importazione guidata certificato ti guiderà nella selezione e nell'importazione del file del certificato.
4. Seguire le istruzioni della procedura guidata per individuare e importare il certificato. Conferma l'azione e chiudi MMC. Potrebbe essere necessario riavviare il browser o il computer affinché le modifiche abbiano effetto.

La modifica delle impostazioni di attendibilità o l'importazione di certificati nell'archivio attendibile è un modo efficace per gestire gli avvisi di sicurezza e i controlli di accesso. Tuttavia, è fondamentale procedere con cautela.

• Modifica le impostazioni di attendibilità o aggiungi certificati solo per CA o siti Web di cui ti fidi assolutamente. La fiducia mal riposta può esporti a vulnerabilità della sicurezza.
• Utilizzare questo metodo con giudizio, principalmente per reti interne o ambienti di sviluppo. Per i siti rivolti al pubblico, assicurarsi che i certificati siano emessi da CA riconosciute e attendibili.

I certificati autofirmati possono essere un po’ un’arma a doppio taglio. Offrono un modo rapido e gratuito per crittografare i dati trasmessi tra il tuo server e i tuoi utenti, rendendoli un'opzione interessante per determinati scenari come sviluppo e test. Tuttavia, gli svantaggi diventano evidenti quando si entra nel mondo più ampio di Internet, dove la fiducia e la sicurezza sono fondamentali.

Certificato autofirmato

Un certificato autofirmato è essenzialmente un certificato firmato dall'individuo o dall'organizzazione che lo ha creato, anziché da un'autorità di certificazione (CA) attendibile. Ciò significa che, sebbene possa fornire la crittografia, manca la verifica di terze parti su cui i browser e gli utenti fanno affidamento per fidarsi della sicurezza della connessione.

I principali browser e sistemi operativi si affidano ai certificati delle CA riconosciute perché queste autorità hanno processi di verifica rigorosi. Un certificato autofirmato non è stato sottoposto a tale controllo, portando i browser ad avvisare gli utenti sulla sicurezza della connessione, il che può scoraggiare i visitatori e danneggiare la credibilità del tuo sito.

Se un certificato autofirmato viene compromesso (ad esempio, la chiave privata viene divulgata), non c'è modo di revocarlo. Le CA attendibili, d'altro canto, mantengono elenchi di certificati revocati (CRL e utilizzano OCSP), consentendo ai browser di verificare lo stato del certificato in tempo reale e bloccare connessioni potenzialmente compromesse.

Transizione a un certificato firmato da una CA

Per i siti Web rivolti al pubblico, il passaggio a un certificato firmato da un'autorità di certificazione è fondamentale per stabilire fiducia e sicurezza. Ecco come effettuare il passaggio:

• Ricerca e seleziona una CA attendibile. Esistono diverse CA affidabili, incluse alcune che offrono certificati gratuitamente, come Let's Encrypt.
• Questa richiesta contiene la tua chiave pubblica e dettagli sulla tua organizzazione. Il software del tuo server web di solito può generare una CSR per te.
• Una volta scelta la tua CA, dovrai inviare loro la tua CSR. La CA verificherà il tuo dominio e, potenzialmente, altre informazioni organizzative a seconda del tipo di certificato che stai richiedendo (DV, OV o EV).
• Dopo che la CA ha emesso il tuo certificato, dovrai installarlo sul tuo server web. Il processo di installazione varia a seconda del software del server, quindi segui le istruzioni fornite dalla tua CA o dal tuo provider di hosting.
• Utilizza strumenti come SSL Server Test di SSL Labs per assicurarti che il tuo certificato sia installato correttamente e che il tuo sito sia sicuro.
• Se la tua CA lo supporta (come Let's Encrypt), l'impostazione del rinnovo automatico garantisce che il tuo certificato rimanga valido senza intervento manuale, evitando scadenze impreviste.

Pensieri conclusivi

In questo blog abbiamo esplorato le complessità degli errori dei certificati SSL/TLS e il modo in cui possono influire sulla sicurezza del tuo sito web e sulla fiducia degli utenti. Dall'identificazione della causa principale dell'errore "Impossibile stabilire una relazione di fiducia" all'esplorazione di scenari specifici come mancata corrispondenza dei certificati, scadenza, CA non attendibili e l'uso di certificati autofirmati, abbiamo coperto una gamma di soluzioni per salvaguardare il tuo sito . Che si tratti di modificare le impostazioni di attendibilità del browser, di rinnovare o sostituire i certificati o di passare dai certificati autofirmati a quelli firmati da una CA, l'importanza di mantenere comunicazioni digitali sicure e affidabili è stato un tema centrale. L'implementazione di queste misure non solo migliora la sicurezza del sito, ma rafforza anche la fiducia degli utenti, garantendo un'esperienza di navigazione fluida e sicura.

Accelera la creazione del tuo sito Web WordPress con l'intelligenza artificiale

Crea un sito Web WordPress personalizzato su misura per le tue esigenze aziendali 10 volte più velocemente con 10Web AI Website Builder.

Genera il tuo sito web

Nessuna carta di credito richiesta