Ce este SSL/TLS?
SSL (Secure Sockets Layer) și succesorul său TLS (Transport Layer Security) sunt protocoale criptografice care asigură confidențialitatea și integritatea datelor transmise prin internet.
Când un vizitator accesează site-ul tău printr-o conexiune HTTPS, browserul și serverul stabilesc un „tunel" criptat prin care toate datele circulă în siguranță. Fără acest tunel, informații sensibile — parole, date personale, numere de card — pot fi interceptate de atacatori prin tehnica man-in-the-middle.
Un certificat SSL/TLS este emis de o Autoritate de Certificare (CA) de încredere și confirmă că domeniul aparține entității declarate.
De ce contează?
- Protecția datelor utilizatorilor — formulare de contact, autentificare, plăți online: toate necesită criptare.
- Încredere vizibilă — browserele moderne marchează site-urile HTTP drept „Nesigur". Un lacăt verde în bara de adrese construiește credibilitate instantanee.
- SEO — Google penalizează site-urile fără HTTPS în clasamentele de căutare încă din 2014.
- Conformitate GDPR — transmiterea de date personale fără criptare constituie o încălcare a Regulamentului General privind Protecția Datelor.
- Versiune de protocol — TLS 1.0 și 1.1 sunt considerate nesigure. Serverul trebuie să accepte cel puțin TLS 1.2, ideal TLS 1.3.
Cum verifici?
SecureCheck verifică automat:
- Dacă certificatul este valid și emis de o CA de încredere
- Data de expirare (te avertizăm cu 30 de zile înainte)
- Versiunile TLS acceptate de server (TLS 1.0/1.1 = risc)
- Dacă HTTP redirecționează automat spre HTTPS
- Prezența HSTS (HTTP Strict Transport Security) în headere
Poți verifica și manual accesând https://www.ssllabs.com/ssltest/ și introducând domeniul tău.
Cum remediezi?
Dacă nu ai certificat: Activează unul gratuit prin Let's Encrypt — disponibil la orice hosting modern (cPanel, Plesk, Cloudflare, etc.).
Dacă certificatul e expirat: Reînnoiește-l urgent. Certificatele Let's Encrypt sunt valabile 90 de zile și se pot reînnoi automat cu Certbot.
Dacă TLS 1.0/1.1 sunt active: Dezactivează-le din configurația serverului web (nginx/Apache) și păstrează doar TLS 1.2 și TLS 1.3.
Pentru redirecționare HTTP → HTTPS în nginx:
server {
listen 80;
server_name domeniu.ro;
return 301 https://$host$request_uri;
}Pentru HSTS, adaugă în headerele HTTPS:
Strict-Transport-Security: max-age=31536000; includeSubDomainsSSL nu a putut fi verificat — eroare de conexiune
SecureCheck nu a reușit să stabilească o conexiune TLS cu domeniul tău. Aceasta înseamnă că serverul nu răspunde pe portul 443, DNS-ul nu se rezolvă sau certificatul SSL nu este instalat deloc.
Un site fără HTTPS activ este respins de browsere moderne cu avertisment roșu și penalizat în clasamentele Google.
Cum remediezi:
- Verifică că domeniul se rezolvă corect:
nslookup domeniu.ro - Verifică că portul 443 este deschis:
curl -I https://domeniu.ro - Instalează un certificat SSL — cel mai simplu prin Let's Encrypt (certbot.eff.org) sau prin panoul de control al hosting-ului (cPanel → SSL/TLS → AutoSSL)
Verificare: curl -I https://domeniu.ro — trebuie să returneze HTTP/2 200
Certificat SSL invalid
Certificatul SSL al domeniului tău este invalid — poate fi autosemnat, expirat sau emis pentru un alt domeniu. Browserele afișează un avertisment „Conexiune nesigură" care blochează vizitatorii.
Un certificat invalid este la fel de periculos ca absența unuia: utilizatorii nu au garanția că vorbesc cu serverul tău real.
Cum remediezi:
- Identifică problema exactă:
openssl s_client -connect domeniu.ro:443 2>/dev/null | openssl x509 -noout -text - Re-emite certificatul de la o CA de încredere: Let's Encrypt (
certbot renew --force-renewal) sau cumpără de la DigiCert, Sectigo etc. - Asigură-te că SAN (Subject Alternative Name) include toate variantele:
domeniu.roșiwww.domeniu.ro
Verificare: ssllabs.com/ssltest — trebuie să obții nota A sau A+
Certificatul SSL expiră în curând
Certificatul SSL al domeniului tău expiră în mai puțin de 30 de zile. La expirare, browserele vor afișa imediat avertisment de conexiune nesigură, blocând accesul vizitatorilor.
Expirarea neanticipată a certificatelor este una dintre cele mai frecvente cauze de downtime evitabil.
Cum remediezi:
- Reînnoiește imediat:
certbot renew(Let's Encrypt) sau din panoul hosting-ului - Activează reînnoirea automată:
crontab -e→0 3 * * * certbot renew --quiet - Dacă folosești Cloudflare, activează „Always Use HTTPS" și reînnoiește certificatul de origine
Verificare: echo | openssl s_client -connect domeniu.ro:443 2>/dev/null | openssl x509 -noout -dates
Protocol TLS slab detectat
Serverul tău acceptă conexiuni prin TLS 1.0 sau TLS 1.1 — protocoale criptografic compromise, retrase oficial din 2020. Atacatorii pot exploata vulnerabilități cunoscute (POODLE, BEAST) pentru a decripta traficul.
Organizațiile care procesează plăți online (PCI DSS) și cele supuse NIS2 sunt obligate să dezactiveze TLS 1.0/1.1.
Cum remediezi:
- Nginx: adaugă în blocul
server:ssl_protocols TLSv1.2 TLSv1.3; - Apache: în httpd.conf sau ssl.conf:
SSLProtocol -all +TLSv1.2 +TLSv1.3 - Reîncarcă serverul web:
nginx -s reloadsausystemctl reload apache2
Verificare: SSL Labs — secțiunea „Protocol Support" trebuie să arate doar TLS 1.2 și TLS 1.3
Lipsă redirect HTTP → HTTPS
Site-ul tău servește conținut pe HTTP fără a redirecționa automat spre HTTPS. Utilizatorii care accesează http://domeniu.ro nu beneficiază de criptare, chiar dacă ai certificat SSL valid.
Linkuri externe, emailuri și bookmark-uri vechi pot trimite trafic pe HTTP neprotejat.
Cum remediezi:
- Nginx — adaugă un bloc server dedicat HTTP:
server { listen 80; server_name domeniu.ro www.domeniu.ro; return 301 https://$host$request_uri; } - Apache — în
.htaccesssau VirtualHost HTTP:RewriteEngine On+RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] - Cloudflare — Dashboard → SSL/TLS → Edge Certificates → activează „Always Use HTTPS"
Verificare: curl -I http://domeniu.ro — trebuie să returneze 301 Moved Permanently cu Location: https://