Nel 2026 la domanda non è più “dovrei avere SSL sul mio sito?” ma “perché non l’ho ancora attivato?”. Google penalizza nel ranking i siti senza HTTPS, Chrome e Firefox mostrano l’avviso “Non sicuro” ai visitatori, e il lucchetto nella barra URL è associato alla credibilità del sito. La buona notizia: nel 2026 un certificato SSL è gratuito, si installa in un clic su quasi tutti gli hosting e si rinnova automaticamente.
Gratuito
90 giorni
Automatico
Sì (dal 2014)
Fino a 2x più veloce
250M+
SSL, TLS, HTTPS: Facciamo Chiarezza
- SSL (Secure Sockets Layer) — il protocollo originale anni ‘90, tecnicamente obsoleto dal 2015 (SSL 3.0 deprecato). Il termine è rimasto nell’uso comune.
- TLS (Transport Layer Security) — il successore moderno, attualmente TLS 1.2 e 1.3. Quando dici “SSL” oggi, intendi in realtà TLS. TLS 1.3 è significativamente più veloce grazie all’handshake ridotto a 1 RTT.
- HTTPS (HTTP Secure) — il protocollo HTTP che viaggia su connessione TLS cifrata. Il lucchetto nel browser indica HTTPS attivo.
Let’s Encrypt: Il Certificato SSL Gratuito nel 2026
Let’s Encrypt è un’autorità di certificazione no-profit che protegge oltre 250 milioni di domini nel 2026. Caratteristiche fondamentali: completamente gratuito, certificati Domain Validated (DV), validità 90 giorni con rinnovo automatico via protocollo ACME. Su hosting con cPanel (Hostinger, SiteGround, Netsons, Serverplan, Keliweb) si attiva automaticamente all’aggiunta del dominio.
Hosting senza supporto ACME: alcuni provider (es. GoDaddy) non supportano il protocollo ACME e richiedono il rinnovo manuale ogni 90 giorni. In questi casi è più semplice cambiare hosting che rinnovare manualmente tre volte l’anno.
Tipi di Certificato SSL: Quale Scegliere
| Tipo | Validazione | Prezzo | Ideale per |
|---|---|---|---|
| DV (Domain Validation) | Solo dominio | Gratuito (Let’s Encrypt) | Blog, siti vetrina, landing page |
| OV (Organization Validation) | Dominio + organizzazione | €50–200/anno | PMI con reputazione da proteggere |
| EV (Extended Validation) | Verifica approfondita | €200–600/anno | Banche, e-commerce grandi |
| Wildcard | DV o OV | Da €80/anno | Siti con molti sottodomini (*.dominio.it) |
Let’s Encrypt DV — Perché è sufficiente per la maggior parte dei siti
- Crittografia TLS 1.3 identica ai certificati premium
- Rinnovo automatico ogni 90 giorni: non scade mai
- Incluso gratis su quasi tutti gli hosting moderni
- Accettato da tutti i browser e riconosciuto da Google
Let’s Encrypt DV — Limiti
- Nessuna validazione dell’identità dell’organizzazione
- Nessuna garanzia finanziaria o supporto dedicato
- Wildcard richiede configurazione DNS challenge manuale su molti hosting
HTTP/1.1 vs HTTPS vs HTTP/2 vs HTTP/3
- HTTP/1.1 — una connessione TCP per risorsa, latenza elevata su pagine con molti asset.
- HTTP/2 — multiplexing (molte richieste parallele su una connessione), header compression, server push. Fino a 2x più veloce. Richiede HTTPS.
- HTTP/3 — usa QUIC invece di TCP, elimina il head-of-line blocking. Più veloce in condizioni di rete scadente (mobile). Supportato da Kinsta, Cloudflare e SiteGround nel 2026.
Morale pratica: attivando HTTPS ottieni automaticamente HTTP/2 su quasi tutti gli hosting moderni. HTTP/3 è un bonus se hosting e CDN lo supportano.
Come Attivare SSL su WordPress: Guida Passo-Passo
Step 1 — Verifica se SSL è già attivo
Prova ad accedere con https:// davanti al dominio. Se vedi il lucchetto e nessun errore, sei già protetto. Molti hosting moderni attivano Let’s Encrypt automaticamente.
Step 2 — Attivazione da cPanel
Se non è attivo: cPanel → Sicurezza → SSL/TLS → Gestisci SSL. Genera il certificato Let’s Encrypt automaticamente. Il processo richiede pochi minuti; il dominio deve essere correttamente puntato al server.
Step 3 — Configura WordPress per HTTPS
Vai in Impostazioni → Generali e cambia sia l’URL WordPress che l’URL del sito da http:// a https://. Aggiungi il redirect forzato nel .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]In alternativa, il plugin Really Simple SSL automatizza tutto con un clic, inclusa la risoluzione del mixed content.
Step 4 — Risolvi il Mixed Content
Il mixed content si verifica quando una pagina HTTPS carica risorse via HTTP. Il browser mostra il lucchetto con avviso. Really Simple SSL rileva e corregge automaticamente il mixed content nel database WordPress. Per risorse esterne, assicurati che usino HTTPS.
Step 5 — Verifica con Qualys SSL Labs
Accedi a ssllabs.com/ssltest, inserisci il tuo dominio. Un sito correttamente configurato ottiene A o A+. Problemi comuni: TLS 1.0/1.1 ancora abilitati, cipher suite deboli, catena del certificato incompleta.
SSL e SEO: L’Impatto Reale
Google ha confermato HTTPS come fattore di ranking dal 2014. L’impatto diretto è moderato (“tiebreaker”), ma i benefici indiretti sono significativi: maggiore fiducia dei visitatori, bounce rate più bassa, tempo sulla pagina più alto. Per la migrazione HTTP→HTTPS: usa redirect 301, aggiorna sitemap XML con URL HTTPS e aggiungi la nuova proprietà in Google Search Console.
Let’s Encrypt gratuito con rinnovo automatico è la scelta corretta per il 99% dei siti WordPress. Dal punto di vista della crittografia è identico ai certificati premium: la differenza è solo nella validazione dell’identità, non nella sicurezza della connessione.
Attivando HTTPS ottieni automaticamente HTTP/2 (e su hosting moderni HTTP/3), con un miglioramento tangibile delle performance. Per una gestione SSL completamente automatica e integrata con CDN, Kinsta include certificati Cloudflare con supporto wildcard e HTTP/3 su tutti i piani.
Per la nostra analisi completa della sicurezza hosting, leggi: Sicurezza Hosting WordPress: Checklist Completa 2026. Per confrontare gli hosting con SSL incluso automatico, usa il comparatore FindHost.
Domande Frequenti (FAQ)
Let’s Encrypt è sicuro come un certificato SSL a pagamento?
Sì, dal punto di vista della crittografia. Let’s Encrypt emette certificati DV con TLS 1.2/1.3 identico ai certificati premium. La differenza rispetto a OV e EV è solo nel livello di verifica dell’identità dell’organizzazione, non nella sicurezza della connessione cifrata. Per il 99% dei siti, Let’s Encrypt è perfetto.
Cosa succede se il certificato SSL scade?
I browser mostrano un errore bloccante ai visitatori (“Connessione non privata” su Chrome), rendendo il sito praticamente inaccessibile. Google può rimuovere temporaneamente il sito dal ranking. Su hosting con rinnovo automatico (la maggior parte nel 2026), questo non dovrebbe accadere mai.
HTTP/2 è attivo automaticamente con HTTPS?
Su quasi tutti gli hosting moderni, sì. HTTP/2 richiede HTTPS ma abilitarlo non garantisce HTTP/2 su hosting datati. Verifica con KeyCDN HTTP/2 Test: inserisci il tuo URL e controlla il protocollo usato. Hostinger, SiteGround e Kinsta supportano HTTP/2 e HTTP/3 di default nel 2026.
Ho bisogno di un certificato SSL wildcard?
Solo se usi molti sottodomini (es. blog.sito.it, shop.sito.it). Un wildcard (*.sito.it) copre tutti i sottodomini con un certificato. Let’s Encrypt supporta i wildcard ma richiedono configurazione manuale via DNS challenge su molti hosting. Per siti con pochi sottodomini, un DV standard è sufficiente.
Cos’è il mixed content e come si risolve?
Il mixed content si verifica quando una pagina HTTPS include risorse caricate via HTTP. Il browser segnala questa situazione con un lucchetto con avviso o bloccando le risorse. Il plugin Really Simple SSL rileva e corregge automaticamente il mixed content nel database WordPress. Per risorse esterne, verifica che usino HTTPS.