Come scegliere per il tuo e-commerce un certificato digitale veramente credibile sapendo quanto ti costerà

  • Quanto costa un certificato digitale

Come per gli hosting anche per i certificati digitali c'è grande varietà di prezzi e di offerte. Esistono anche particolarità cui prestare attenzione e aspetti un po' più tecnici da considerare.

Ma da cosa dipende questa varietà nell'offerta? E come mi oriento nella scelta? E i costi perché oscillano in maniera così vistosa?

Sono domande che ti sei posto sicuramente se hai iniziato a dare uno sguardo alle offerte degli hosting provider. Se non lo hai ancora fatto lo farai ed allora queste domande ti assilleranno.

Come lo so? Perché me le sono già fatte ed in questo articolo ho scritto le risposte che mi sono dato leggendo pagine su pagine.

Questo post fa parte della Guida ai certificati digitali per l'e-commerce.

La serie spiega cosa sono i certificati digitali, come funzionano e come scegliere quello perfetto per il proprio sito di commercio elettronico.

Vai all'indice della Guida ai certificati digitali per il commercio elettronico.

Scegliere il certificato digitale giusto

In primo luogo di sicuro c'è che devi acquistare un server certificate, un certificato, cioè, che identifichi il tuo server ed il nome a dominio del tuo sito.
I prezzi di questi certificati hanno escursioni elevatissime che dipendono essenzialmente da quattro fattori:

  1. La rinomanza della Certification Authority;
  2. Il livello di cifratura utilizzato dal certificato digitale;
  3. Se il certificato digitale è di tipo wildcard;
  4. Se il certificato è di tipo EV (Extended Validation).

Ognuno di questi aspetti merita una trattazione separata data l'importanza che riveste ai fini della scelta.

1) La rinomanza della Certification Authority

Ti ho spiegato che le chiavi asimmetriche del certificato digitale che acquisterai verranno cifrate dalla Certification Authority prima che ti vengano consegnate. Questo garantirà la tua identità ed impedirà a terzi malintenzionati (cracker) di manometterlo rendendolo inutile. Per poter essere utilizzato, quindi, il certificato digitale necessita di essere decodificato con la chiave pubblica della Certification Authority. Questa chiave pubblica è preinstallata nei browser in circolazione.

E qui sorge il problema: che succede se il browser non ha la chiave pubblica della Certification Authority? Non potrà decodificare il certificato digitale e mostrerà un allarme all'utente che con elevatissima probabilità abbandonerà il tuo sito.

Le chiavi di non tutte le Certification Authority, infatti, sono preinstallate nei browser. Certamente lo sono quelle delle Certification Authority maggiormente conosciute e rinomate.

La rinomanza della Certification Authority, inoltre, fa si che i tuoi utenti ne riconoscano il bollino di sicurezza apposto sul tuo sito e questo di per sé li indurrà a riporre in te maggiore fiducia.

Questa notorietà si paga ed influenza, di conseguenza, il prezzo finale del certificato digitale.

2) Il livello di cifratura utilizzato dal certificato digitale

Ho parlato sovente in questa serie di articoli di cifratura, cioè del procedimento mediante il quale un testo in chiaro viene reso illeggibile se non si possiede la chiave per decifrarlo.

I livelli di cifratura sono molti e si misurano in bit.

Il certificato digitale che andrai ad acquistare dovrà avere un livello di cifratura di almeno 1024bit: livelli inferiori non ne garantiscono sufficientemente la robustezza. Quelli a 768 bit sono stati craccati.

Inutile dire che maggiore è il livello di cifratura maggiore sarà la sicurezza e maggiore sarà il costo del certificato.

3) L'essere il certificato digitale di tipo wildcard

Non credo ti servirà un certificato del genere. Esso è in grado di funzionare non solo sul dominio di secondo livello domain.com ma anche sui domini di terzo livello subdomain.domain.com.

Certamente se hai dei sotto-domini sarai in grado di capire da solo se è necessario che tu acquisti un certificato digitale di tipo wildcard. In caso contrario non lasciarti influenzare eccessivamente da questa caratteristica qualora fosse presente nell'offerta che intendi prendere in considerazione.

In un prossimo articolo ti spiegherò anche come questo tipo di certificato viene utilizzato dagli hosting provider per offrire ai propri utenti una semplice connessione protetta da SSL. Se hai letto gli articoli precedenti, però, sai che la semplice cifratura è un aspetto marginale rispetto all'obiettivo reale di un certificato digitale.

4) L'essere il certificato digitale di tipo Extended Validation

Un certificato digitale Extended Validation comporta una serie di controlli molto più accurati da parte della Certification Authority prima che ti consegni il certificato digitale. La sua presenza a protezione del sito viene evidenziata dai moderni browser con il colore verde che rassicura l'utente anche se questi non è consapevole dell'esistenza del certificato digitale.

Questi controlli richiedono un impegno maggiore da parte della Certification Authority che dovrà andare a verificare le informazioni che le fornirai e dovrà andare a cercarsene altre presso le pubbliche amministrazioni ed i pubblici registri. A fronte di questo suo maggiore impegno la Certification Authority richiede anche a te un maggiore impegno in termini economici: un certificato digitale di tipo extended validation costa di più.

Ma quanto costa un certificato digitale in definitiva?

I prezzi oscillano dai classici 20-30 Euro ai 700-800Euro e oltre dei certificati più blasonati e diffusi che garantiscono una sicurezza maggiore e maggiore fiducia del consumatore/utente nei tuoi confronti.
Ovviamente io ti sconsiglio caldamente anche solo di prendere in considerazione offerte troppo basse perchè necessariamente carenti dei requisiti minimi idonei a garantire una sufficiente affidabilità del certificato digitale cui si riferiscono.

Questi, però, sono solo i prezzi dei certificati che rappresentano i costi diretti.

Esiste, infatti, anche un costo indiretto da prendere in considerazione e la sua incidenza è di non poco conto: sto parlando dell'acquisto di un indirizzo IP e relativo server dedicato.

I costi sommersi dei certificati digitali

Mi piace definire questo tipo di costo "sommerso". Siamo lì, decisi a fare il nostro acquisto e al momento di pagare scopriamo che la cifra che dobbiamo sborsare si è praticamente raddoppiata. Un po' come succedeva fino a qualche tempo fa con le tariffe aeree.

Con i certificati digitali è lo stesso e nel caso di specie il costo sommerso è costituito dalla necessità di avere un indirizzo IP dedicato e quindi un server dedicato. E questa è una spesa che incide in maniera notevole sul costo finale da sopportare per avere un certificato digitale.

Un server dedicato con annesso indirizzo IP costa all'incirca 1000 Euro, Euro più, Euro meno.

Ho scritto un articolo sui server dedicati che puoi leggere per saperne di più.

Sul perchè sia necessario averne uno, invece, ti rimando ad un futuro articolo nel quale ti esporrò anche la bravura degli hosting provider nel creare illusioni: l'illusione dell'esistenza di un certificato digitale tutto tuo (che ovviamente non c'è!).

Per gli altri costi sommersi legati all'avvio di un sito di commercio elettronico ho scritto l'ebook "I costi sommersi dell'e-commerce". Scaricalo ora per sapere quanto dovrai spendere per avviare un e-commerce!

Questo post fa parte della Guida ai certificati digitali per l'e-commerce.

La serie spiega cosa sono i certificati digitali, come funzionano e come scegliere quello perfetto per il proprio sito di commercio elettronico.

Vai all'indice della Guida ai certificati digitali per il commercio elettronico.

2017-05-16T17:19:47+00:00 Argomenti: , |

11 Commenti

  1. Asdfad 14 luglio 2010 al 18:43 - Rispondi

    Cioa,
    Complimenti per l’articolo, ma non sono completamente d’accordo con i tuoi costi sommersi.. per esempio se compri un server virtuali su aruba puoi installare il tuo certificato a costi bassissimi.. qualche centinaio di euro.
    Poi i fattori che influenzano il costo del certificato sono anche altri ;)….

    ciao

    • Aerendir 14 luglio 2010 al 18:45 - Rispondi

      Ma se fai e-commerce e compri l’hosting su Aruba sei già fuori strada 😉
      In ogni caso avresti potuto anche inserire il tuo nome e la tua email. I commenti anonimi non fanno proprio piacere!

  2. Paolo 29 gennaio 2014 al 12:17 - Rispondi

    Buongiorno articolo molto interessante, sto leggendo molto sulla questione e mi sto interessando, onestamente ho diversi siti ospitati su aruba e devo dire che mi trovo molto bene, ma ora ho necessità di realizzare un e-commerce di un tour operator e navigo un po’ nel buoi.. quello che ho capito è che avrei bisogno di un VPS o server dedicato, ma che per risparmiare “basterebbe” -forse- un piano hosting con un ip statico(dedicato) e l’installazione di un protocollo ssl.. ora leggendo il suo commento e non avendo particolare conoscenza dei passaggi, mi piacerebbe avere un consiglio o suggerimento se possibile, visto che mi sento “fuori strada” 🙂

    • Aerendir 29 gennaio 2014 al 17:56 - Rispondi

      Ciao Paolo,
      il punto è proprio quello dell’IP: ne serve uno statico perché il certificato sia di una qualche utilità pratica.
      I prezzi oggi sono decisamente diversi da quelli del 2010 (quando ho scritto questo articolo), e anche ottenere un IP statico è più facile.

      Per un consiglio… sicuramente il primo è di cambiare hosting provider e di affidarti a qualcuno che offra servizi di fascia almeno media.
      A quel punto è possibile anche trovare offerte più convenienti, che magari includano l’IP e il certificato.
      Certamente non parliamo delle poche decine di euro annuali che chiede Aruba. Ma in fin dei conti parliamo di un e-commerce.

      In ogni caso l’argomento è vasto e si collega ad altri aspetti relativi anche all’affidabilità e alla fiducia ispirata nell’utente.
      Non so se ho contribuito, almeno in parte, a chiarirti le idee, ma la domanda che mi hai fatto è molto generica!
      Però, in ogni caso, sono qui se ne hai altre! 🙂

  3. Sergio 1 aprile 2014 al 05:25 - Rispondi

    Ciao, quali sono i tempi per ottenere un certificato? Noi ne abbiamo richiesto uno, è già una settimana che attendiamo e ancora nulla, possibile sono così lunghi? forse dovremmo provare a telefonare per chiedere cosa succede? tu che ne sai sull’argomento tempistica? grazie , bell’articolo.

    • Aerendir 3 aprile 2014 al 11:32 - Rispondi

      Eh eh, dipende… Immagino che dipenda dalla società a cui lo hai richiesto, dal tipo di certificato che hai richiesto e da una marea di altre cose. La verità? Non ne ho idea 🙂

      Quindi… credo di si, la cosa migliore sarebbe contattare direttamente l’azienda presso cui lo hai acquistato…

      Grazie per il commento e in bocca al lupo!

  4. Filippo Matteo Riggio 27 aprile 2014 al 21:31 - Rispondi

    Ciao Aerendir, articolo interessante. So che sconsigli vivamente Aruba, e da developer, so che non e’ la soluzione migliore, ma il budget a mia disposizione e’ basso. Volevo chiederti 2 cose. Innanzitutto, sai se con Aruba e’ possibile installare certificati terzi? Tra i certificati di fascia medio/bassa, sapresti consigliarmene qualcuno? Sto dando un’occhiata a RapidSSL e GeoTrust (fosse per me andrei di verysign, ma come ti dicevo, il budget e’ basso) ma sinceramente e’ la prima volta che mi si pone il problema.
    Grazie mille.
    Filippo

    • Aerendir 1 maggio 2014 al 13:30 - Rispondi

      Ciao Filippo, e già, sconsiglio vivamente Aruba: semplicemente io non so gestirlo. Non ha un pannello di controllo degno di questo nome, acquistare un nuovo servizio o fare un semplice upgrade al piano può rivelarsi una cosa complicatissima, l’assistenza è come se non esistesse. Insomma, qualunque sia il tuo budget, io ti consiglio di incrementarlo per l’hosting, anche perchè alla fine parliamo di una differenza di poche decine di euro all’anno (un hosting condiviso migliore di aruba lo trovi anche a 60/70/100 euro). Ovviamente non intendo entrare nel merito delle tue scelte, lo scrivo solo per spiegare meglio a chi dovesse leggere i motivi che mi spigono a dire quello che dico di Aruba.
      Detto questo, ovviamente non ho idea del se sia possibile o meno installare un certificato di terzi su Aruba: spero di si, ma credo di no (ma, ripeto, non uso Aruba e quindi in realtà non ho nessuna certezza in merito).
      Venendo alla domanda vera, quale certificato ti consiglio, posso dirti che molto dipende dal motivo che ti spinge a installare un certificato.
      Se hai semplicemente bisogno di rendere sicura la connessione, allora non mi preoccuperei più di tanto della certification authority.
      Se invece vuoi usarlo anche per indurre maggiore fiducia nei visitatori, purtroppo la certification authority conta e il costo sale.
      Quindi, uno in particolare non posso consigliartelo. Ti posso invitare, però, a valutare attentamente i motivi che ti spingono a sostenerne la spesa: magari con gli stessi soldi puoi fare altro e ottenere i medesimi risultati. Ma ti ripeto, così, al buio, è difficile darti consigli più concreti.

  5. Vittorio 20 gennaio 2017 al 15:30 - Rispondi

    Ciao Aerendir, compliments per la conoscenza dell’argomento; Ti pongo questa domanda…Ho un sito aziendale, ma non faccio ne ho intenzione di fare ecommerce, il cliente deve venire a vedere, anzi a toccare con mano il prodotto, non tratto telefoni cellulari, ma porte e portoni vecchi ed antichi restaurati ed il loro restauro, ne chiedo di fare il login ai visitatori, ne di compilare moduli di contatto. La certificazione mi serve per rispondere all’esigenza di Google che pretende e pretenderà che il mio sito sia sicuro e mi …obbliga ad usare l’SSL altrimenti affigge una scritta rossa con scritto SITO NON SICURO senza contare l’inserimento nell’algoritmo per la Seo. Cosa mi consigli? Il certificato…minimo in quanto a costo, può andare bene oppure sceglieresti comunque qualcosa che ha caratteristiche migliori e relativa maggiore spesa? Ti ringrazio e mi scuso per essermi accodato ed averTi rubato altro tempo, un saluto Vittorio Tortora

    • Aerendir 24 marzo 2017 al 12:26 - Rispondi

      Ciao Vittorio, ti rispondo in ordine:

      1) Il fatto che tu non intenda vendere on-line non significa che devi limitarti a un sito vetrina: esistono tante tattiche (da inserire in una più ampia strategia) per far si che il tuo sito vetrina diventi uno strumento utilissimo per ottenere contatti di persone potenzialmente interessate alle tue porte e ai tuoi portoni restaurati. Giusto perchè tu ne sia a conoscenza! 😛

      2) Google non mostra la pagina di allerta semplicemente perché non c’è il certificato digitale: quell’avviso compare solo su siti che Google reputa essere pericolosi. Prendi un qualunque sito senza certificato digitale: compare in Google e Google non avvisa nessuno. In caso di assenza di certificato digitale semplicemente nei browser non compare alcuna evidenziazione verde (lucchetto, nome dell’azienda, ecc., a seconda del tipo di certificato digitale). Quindi, se per il tuo sito compare l’avviso di allerta il problema è più grave e un certificato digitale non è la soluzione. Io comincerei contattando l’hosting provider e cercando di capire cosa sta succedendo.

      3) È vero, Google premia i siti che hanno un certificato digitale, ma tieni presente che questo è solo uno degli innumerevoli indici che Google usa per decidere chi mostrare prima e chi mostrare dopo. Voglio dire, non ti aspettare di schizzare in prima posizione dopo aver messo il certificato (per quali parole chiave, poi? Ci vuole una strategia di SEO per migliorare il posizionamento sui motori di ricerca!).

      Spero di esserti stato utile, in bocca al lupo e… Chiama l’hosting provider per capire che succede sul tuo sito! A presto!

Scrivi un commento