Come ottenere l'HTTPS gratis sul tuo server

Apri un sito qualsiasi oggi e guarda la barra degli indirizzi. C'è un piccolo lucchetto e l'indirizzo inizia con https://. Apri un sito senza lucchetto e il browser fa qualcosa di molto meno discreto: un'etichetta grigia "Non sicuro", a volte un avviso a tutta pagina che mette in fuga chi visita.

Se ospiti qualcosa sul tuo server, il lucchetto lo vuoi. La buona notizia: è gratis, è automatico ed è più facile che mai. Ecco come funziona.

Cosa significa davvero il lucchetto

L'HTTPS fa due cose insieme:

• Cifra la connessione. Tutto ciò che passa tra il browser di chi visita e il tuo server viene mescolato, così nessuno nel mezzo — il Wi-Fi di un bar, un operatore internet — può leggerlo.
• Dimostra chi sei. Un piccolo file chiamato certificato garantisce che quel dominio è servito davvero da quel server, e non da un impostore.

È tutto qui il senso del lucchetto: privato, e dimostrabilmente tuo.

Una volta costava. Adesso no.

Per anni i certificati erano qualcosa che si comprava — un canone annuale, un rinnovo scomodo, il tipo di scocciatura che la gente dimenticava finché il sito non si rompeva. Le cose sono cambiate con Let's Encrypt, un'organizzazione no-profit che emette certificati gratis e automatizza tutto il processo. Oggi pagare un certificato di base è l'eccezione, non la regola.

Quindi quando una vecchia guida ti dice di "comprare un certificato SSL" — di solito non serve. Quello gratuito è ritenuto affidabile dai browser esattamente allo stesso modo.

L'unica cosa che deve venire prima

Un certificato viene emesso per un nome di dominio, e l'autorità che lo emette deve confermare che quel nome punti davvero al tuo server. Il che significa una regola: il dominio deve puntare al server prima di poter attivare l'HTTPS. Il lucchetto viene sempre dopo.

Se non hai ancora fatto quel passaggio, comincia da lì — abbiamo scritto una breve guida su come collegare un dominio al server. Appena il nome si risolve, il certificato può essere emesso in pochi secondi.

Come si configura — e si rinnova per sempre

I web server moderni se ne occupano per te. Quando arriva una richiesta per il tuo dominio, il server può richiedere un certificato, dimostrare di controllare il dominio, installarlo e iniziare a servire in HTTPS — spesso in automatico, già alla prima visita.

L'unico dettaglio da sapere: i certificati gratuiti durano poco di proposito — scadono ogni 90 giorni. Sembra una scocciatura, ma non lo è, perché anche il rinnovo è automatico. Il server rinnova in silenzio, in background, molto prima che qualcosa scada. Lo configuri una volta e smetti di pensarci.

Quando dice ancora "Non sicuro"

Due cause comuni, entrambe facili da risolvere:

• Il dominio non punta ancora al server (o non si è propagato). L'HTTPS non può completarsi finché non lo fa — torna indietro di un passo.
• **La pagina si carica in HTTPS ma richiama qualcosa in semplice http://** — un'immagine o uno script con un link vecchio. I browser lo segnalano come "contenuto misto". Aggiornare quei link a https:// risolve.

Nessuno dei due è un vicolo cieco. Vogliono solo dire che ti manca una piccola correzione.

La scorciatoia

Puoi mettere insieme tutto questo a mano. Oppure puoi lasciarlo fare a Server Manager: appena il dominio punta al server, attiva l'HTTPS per te, installa il certificato e lo rinnova per sempre — nessun file da copiare, nessun promemoria a 90 giorni, niente da mantenere. Il lucchetto compare e basta, e resta.

Tuo, e affidabile

Una volta il lucchetto era il segno che dietro a un sito c'era un'azienda. Oggi è alla portata di chiunque abbia un dominio e un server — te compreso. La tua macchina, il tuo nome, la stessa fiducia del lucchetto di chiunque altro su internet, gratis.

Le guide di aiuto approfondiscono HTTPS, certificati e domini quando vuoi.