Gestire SSL su Migliaia di Domini di Redirect

8 luglio 2026
11 min di lettura
Gestire SSL su Migliaia di Domini di Redirect

Gestire i certificati SSL per un piccolo numero di domini è semplice. Gestire i certificati SSL per migliaia di domini di redirect è una sfida operativa completamente diversa.

Mentre Let's Encrypt si prepara ad accorciare la durata dei certificati a 45 giorni, i team enterprise che gestiscono grandi portafogli di domini affrontano un carico di lavoro in aumento — più rinnovi, più punti di fallimento e più rischio che certificati scaduti mettano fuori uso redirect fondamentali per il business. Questa guida analizza la realtà operativa dell’SSL su scala enterprise dei domini e mostra come l’infrastruttura moderna per i redirect elimina la fatica manuale legata ai certificati.

Profilo del dominio enterprise#

Le organizzazioni enterprise raramente possiedono un solo dominio. I team marketing registrano domini specifici per ogni campagna. I team di brand protection acquisiscono varianti per errori di battitura, ccTLD e registrazioni difensive su decine di TLD. Lo sviluppo aziendale aggiunge domini tramite acquisizioni, ciascuno con requisiti di redirect propri.

Una società SaaS di medie dimensioni potrebbe gestire 300–500 domini. Un’operazione di e-commerce di grandi dimensioni potrebbe arrivare a 2.000+. Investitori di domini e gestori di portafogli gestiscono regolarmente da 10.000 a 300.000 domini — ciascuno dei quali necessita di HTTPS per funzionare come endpoint di redirect.

Ogni dominio in questi portafogli ha bisogno di SSL. Senza, i visitatori vedono avvisi del browser. I redirect si interrompono. La fiducia si erode. Per i domini che esistono esclusivamente per reindirizzare traffico — URL di campagne, domini di brand acquisiti, varianti per errori di battitura — un certificato scaduto significa che il redirect non funziona affatto. I browser moderni bloccano la connessione prima ancora che il redirect venga eseguito.

Il costo di un singolo certificato scaduto è immediato. Un dominio di campagna che va offline durante un lancio di prodotto spreca decine di migliaia di euro in spesa pubblicitaria. Un dominio di brand acquisito che perde HTTPS significa traffico perso durante la finestra critica successiva all’acquisizione. Su larga scala, questi guasti si sommano — e la gestione manuale dei certificati non scala con il portafoglio.

Strategia dei certificati su scala: wildcard vs SAN vs per-dominio#

Quando gestisci l’SSL per migliaia di domini, la strategia dei certificati diventa una decisione architetturale. I tre approcci principali comportano ciascuno compromessi distinti che si amplificano su larga scala.

I certificati wildcard coprono tutti i sottodomini sotto un singolo dominio. Riduce il numero totale di certificati e semplifica il rinnovo. Ma le wildcard hanno limitazioni critiche per i portafogli di redirect. Una wildcard per *.brand.com non copre brand.co.uk o brand.de. Per i domini di redirect che attraversano più domini apex — cosa che fanno la maggior parte dei portafogli enterprise — le wildcard creano più lacune di quante ne colmino. Inoltre distribuiscono il rischio: se viene compromessa la chiave privata di una wildcard, tutti i sottodomini risultano esposti.

Bundle di certificati SAN multi-dominio: raggruppa più domini in un unico certificato. Questo riduce il numero di certificati e centralizza il rinnovo. Ma i certificati SAN raggiungono rapidamente limiti pratici. Let's Encrypt impone un limite di 100 domini per certificato. Per un portafoglio di 2.000 domini, servono almeno 20 certificati SAN separati, ciascuno con il proprio calendario di rinnovo, processo CSR e gestione della chiave privata. Aggiungere o rimuovere un dominio significa dover riemettere l’intero certificato — una cascata di complessità operative.

Certificati per dominio: fornisce un certificato per ogni dominio. Ogni dominio opera in modo indipendente — nessuna chiave condivisa, nessun rischio condiviso. Ma la gestione manuale per dominio su scala enterprise è insostenibile: migliaia di date di rinnovo da monitorare, migliaia di chiavi private da proteggere, migliaia di challenge ACME da completare. I fogli di calcolo non scalano qui. Né i promemoria di calendario.

La strategia giusta dipende dall’architettura che gestisce i certificati. Una piattaforma di redirect che gestisce SSL per hostname in modo automatico sposta questo compromesso: i certificati per dominio diventano praticamente invisibili dal punto di vista operativo, perché la piattaforma gestisce emissione, rinnovo e installazione senza intervento umano.

Il problema del rate limit#

I rate limit di Let's Encrypt non sono un dettaglio — sono il vincolo principale che determina se la tua strategia SSL funziona davvero su larga scala.

Let's Encrypt applica diversi rate limit. Il più impattante per i portafogli di redirect enterprise è il limite Certificates per Registered Domain: 50 certificati per registered domain per settimana. Se possiedi brand.com e ti servono certificati per campaign1.brand.com, campaign2.brand.com e altri 48 sottodomini, va bene in una settimana. Ne servono 200? Superi il limite.

Per i portafogli multi-dominio, il limite Duplicate Certificate aggiunge un altro vincolo: non più di 5 certificati identici per settimana per lo stesso insieme di hostname. Se la tua strategia SAN richiede di riemettere certificati con insiemi di domini sovrapposti, questo limite scatta rapidamente.

Il limite New Orders ti limita a 300 nuovi ordini di certificati per account in una finestra di 3 ore. Con 2.000 domini e certificati per dominio, la configurazione iniziale richiede di distribuire il rollout su più giorni anche in condizioni ideali.

Non sono colli di bottiglia teorici. I team che migrano grandi portafogli verso infrastrutture SSL automatizzate incontrano questi limiti durante la configurazione iniziale. La soluzione richiede di integrare la consapevolezza dei rate limit nella tua automazione dei certificati: accodamento, retry con backoff esponenziale e provisioning su più account di Let's Encrypt quando necessario. I flussi manuali semplicemente non hanno la capacità di tracciamento dello stato per gestire tutto questo.

Delegation NS vs CNAME: perché l’architettura DNS cambia la gestione SSL#

Il modo in cui imposti il DNS per i tuoi domini di redirect determina l’intera architettura di automazione SSL.

CNAME all’apice è la configurazione standard: punta ogni dominio alla piattaforma e tutto ciò che segue viene gestito automaticamente. L’SSL viene effettuato automaticamente quando il DNS viene verificato. Il problema su larga scala è la configurazione: ogni dominio richiede una configurazione DNS individuale. Per 5.000 domini, sono 5.000 modifiche DNS da effettuare e verificare.

La delega NS cambia completamente l’equazione. Invece di record CNAME per singolo dominio, indichi i name server autorevoli per interi portafogli di domini alla piattaforma di redirect. Una sola modifica a livello di registrar copre tutti i domini delegati a quei name server. La piattaforma gestisce quindi la risoluzione DNS, la configurazione dei redirect e il provisioning SSL per ogni dominio delegato.

Questa architettura cambia in modo fondamentale la gestione SSL perché la piattaforma possiede l’intero ciclo di vita DNS + SSL. Il provisioning automatico avviene dominio per dominio, ma la piattaforma controlla il flusso di verifica end-to-end. Nessuna configurazione DNS per singolo dominio richiesta dal tuo team. Nessuna attesa della propagazione DNS tra provider esterni.

Gli operatori su scala enterprise — in particolare gli investitori in domini con centinaia di migliaia di domini — usano la delega NS perché l’onere operativo della configurazione CNAME per singolo dominio è proibitivo. L’infrastruttura di redirect enterprise costruita per questa scala gestisce automaticamente l’intero ciclo di vita DNS + SSL. I team che operano a questo livello dovrebbero valutare una piattaforma enterprise dedicata che racchiude la gestione di DNS, SSL e redirect in un’unica pipeline automatizzata.

Come le piattaforme di redirect effettuano automaticamente il provisioning SSL per ogni hostname#

Comprendere la pipeline di automazione permette di avere aspettative realistiche su come dovrebbe apparire la gestione SSL enterprise. Il flusso è semplice, ma deve gestire i guasti in modo efficace su larga scala.

Passo 1 — Verifica DNS: quando viene aggiunto un hostname, la piattaforma controlla la propagazione DNS. Per i domini delegati tramite NS, la verifica è quasi istantanea perché la piattaforma controlla il DNS autorevole. Per i domini configurati con CNAME, la piattaforma effettua polling finché il CNAME non risolve correttamente.

Passo 2 — Emissione del certificato: una volta verificato il DNS, la piattaforma avvia un ordine ACME con Let’s Encrypt. Il tipo di challenge dipende dalla configurazione: HTTP-01 per configurazioni standard, DNS-01 per domini wildcard o delegati tramite NS. I limiti di velocità vengono tracciati e messi in coda automaticamente.

Passo 3 — Installazione: il certificato emesso viene installato all’edge. Per una piattaforma di redirect distribuita a livello globale, significa inviare il certificato a tutte le posizioni edge. L’installazione del certificato all’edge si misura in secondi.

Passaggio 4 — Rinnovo: la piattaforma monitora le date di scadenza dei certificati. Il rinnovo standard si attiva 30 giorni prima della scadenza, quindi ben entro la durata di 45 giorni dei certificati forniti da Let's Encrypt. Se il rinnovo fallisce, la piattaforma riprova con backoff e scala le azioni se il certificato si avvicina alla scadenza.

La differenza operativa chiave rispetto alla gestione manuale: la piattaforma tiene traccia dello stato di ogni certificato lungo l’intero ciclo di vita — emissione, installazione, rinnovo e scadenza. Niente fogli di calcolo. Niente pagine alle 2:00 AM perché un rinnovo è fallito. La piattaforma gestisce i tentativi e scala le azioni solo quando è davvero necessario l’intervento.

Lo strato di monitoraggio: controlli globali dello stato di salute#

L’automazione SSL è valida solo quanto lo è il suo monitoraggio. I certificati possono essere forniti automaticamente, rinnovati automaticamente e installati automaticamente — e comunque fallire in silenzio se nessuno li sta osservando.

Le piattaforme di redirect enterprise aggiungono uno strato di monitoraggio che la gestione manuale dei certificati non può offrire: controlli globali dello stato di salute da più posizioni edge. Ogni endpoint HTTPS di dominio viene verificato a intervalli regolari da checkpoint distribuiti geograficamente. Se un certificato scade o non riesce a rinnovarsi, lo strato di monitoraggio lo rileva — spesso prima che qualsiasi visitatore incontri un avviso del browser.

Per un team che gestisce migliaia di domini di redirect, questo strato di monitoraggio sostituisce l’impossibile compito di controllare manualmente lo stato dei certificati in tutto il portfolio. Invece di sperare che gli script di rinnovo abbiano funzionato, il team riceve avvisi proattivi quando qualcosa va storto. Invece di scoprire certificati scaduti tramite le segnalazioni degli utenti, la piattaforma intercetta i fallimenti durante i controlli automatici dello stato di salute.

Lo strato di monitoraggio verifica oltre lo stato del certificato. Controlla la configurazione SSL — versione minima di TLS, suite di cifratura, intestazioni HSTS — assicurando che ogni dominio rispetti gli standard di sicurezza in tutto il portfolio. Per i team enterprise con requisiti di conformità, questa validazione automatizzata è fondamentale.

Case study: migrazione di un portfolio da 3.000 domini#

Considera un responsabile di portfolio domini che gestisce circa 3.000 domini su più TLD — domini di brand, URL delle campagne, proprietà acquisite e registrazioni difensive. Prima dell’automazione, la gestione SSL significava:

  • Tracciare le date di scadenza dei certificati in un foglio di calcolo condiviso
  • Generare manualmente CSR e completare le sfide ACME per ogni rinnovo
  • Coordinare l’installazione dei certificati su più server e CDN
  • Individuare i certificati scaduti quando gli utenti segnalavano reindirizzamenti non funzionanti
  • Dedicarci circa 15–20 ore di lavoro ingegneristico a settimana per le operazioni sui certificati

La migrazione verso un’infrastruttura SSL automatizzata ha coinvolto tre fasi:

Fase 1 — Consolidamento DNS: Tutti i 3.000 domini sono stati puntati alla piattaforma di reindirizzamento tramite delega NS. È stato il più grande intervento una tantum, completato in oltre due settimane con elaborazione a batch.

Fase 2 — Provisioning iniziale: La piattaforma ha iniziato a effettuare automaticamente il provisioning dei certificati SSL. I limiti di velocità hanno fatto sì che il rollout iniziale richiedesse circa 5 giorni per coprire l’intero perimetro. Durante questo periodo, i certificati esistenti sono rimasti attivi — nessun downtime.

Fase 3 — Stato stabile: Una volta che tutti i domini avevano certificati provisionati automaticamente, il carico operativo è sceso a quasi zero. I rinnovi dei certificati avvengono automaticamente. Il livello di monitoraggio intercetta le eccezioni. Il tempo di ingegneria dedicato a SSL è sceso da 15–20 ore a settimana a meno di 1 ora al mese — e quell’ora viene impiegata per rivedere report automatizzati, non per rinnovare manualmente i certificati.

La metrica più indicativa: zero certificati scaduti nei 18 mesi successivi alla migrazione. Prima dell’automazione, il portafoglio registrava in media 8–12 certificati scaduti al mese.

Inizia a creare reindirizzamenti 5 volte più veloci con RedirHub

Ottieni reindirizzamenti in meno di 100 ms – con HTTPS automatico, analisi e zero configurazioni.

Inizia Gratis

Conclusione#

L’era dei certificati di 45 giorni sta arrivando, ma a sentirne l’impatto saranno le aziende che continuano a gestire SSL manualmente. Per i team che gestiscono infrastrutture di redirect su larga scala — migliaia di domini, decine di TLD, più sedi edge — la gestione manuale dei certificati era già insostenibile. Durate dei certificati più brevi rendono i conti inconfutabili.

Le piattaforme moderne per i redirect gestiscono l’intero ciclo di vita dell’SSL: verifica DNS, emissione del certificato, installazione edge, rinnovo automatico e monitoraggio globale della salute. Il modello operativo passa da "tenere traccia dei certificati in un foglio di calcolo" a "rivedere report automatizzati una volta al mese."

Il tuo portafoglio di domini non dovrebbe dettare il calendario tecnico. Automatizza l’SSL su larga scala e lascia al tuo team il tempo di concentrarsi su ciò che fa avanzare davvero il business.

Inizia gratis con RedirHub per vedere come funziona il provisioning automatico dell’SSL su tutto il tuo portafoglio di domini — senza carta di credito. Il piano enterprise aggiunge infrastruttura dedicata, delega NS e SLA di disponibilità 100% per i team che gestiscono SSL su scala massima.

Domande frequenti

Quando un certificato di redirect scade, i browser moderni bloccano completamente la connessione, mostrando un avviso di sicurezza prima che il redirect possa attivarsi. L'utente non raggiunge mai l'URL di destinazione. Per i redirect critici per il business, come i domini delle campagne o gli URL dei marchi acquisiti, questo significa una perdita totale di traffico fino al rinnovo del certificato.

I certificati wildcard coprono tutti i sottodomini sotto un dominio ma non si estendono su domini principali diversi. I certificati per dominio forniscono SSL individualmente per hostname. Per portafogli di redirect multi-dominio che coprono dozzine di domini principali, i certificati per dominio offrono una migliore isolamento e gestione del rischio, ma richiedono automazione per essere operativamente sostenibili su larga scala.

Let's Encrypt supporta la scala aziendale attraverso il suo protocollo ACME, ma i team devono progettare intorno ai limiti di frequenza: 50 certificati per dominio registrato a settimana e 300 nuovi ordini per finestra di 3 ore. Una piattaforma di redirect con consapevolezza integrata dei limiti di frequenza gestisce questo automaticamente, mettendo in coda e riprovando l'emissione attraverso il portafoglio.

La delega NS sposta il DNS autorevole per interi portafogli di domini sulla piattaforma di redirect. Invece di configurare record CNAME per dominio, si effettua una sola modifica presso il registrar. La piattaforma gestisce quindi la risoluzione DNS, il provisioning automatico SSL e il rinnovo per ogni dominio delegato, eliminando il sovraccarico di configurazione DNS per dominio.

Sì, ma l'automazione deve gestire quattro livelli: verifica DNS del controllo del dominio, completamento della sfida ACME con consapevolezza dei limiti di frequenza, installazione del certificato in diverse posizioni edge e monitoraggio della salute globale per rilevare guasti. Una piattaforma di redirect che unisce tutti e quattro i livelli elimina la necessità di script di rinnovo personalizzati e tracciamento manuale.

Let's Encrypt e il CA/Browser Forum si stanno muovendo verso una durata dei certificati di 45 giorni, rispetto all'attuale standard di 90 giorni. Per i team che gestiscono migliaia di domini di redirect, questo raddoppia la frequenza di rinnovo a 8 cicli di rinnovo per dominio all'anno. La gestione manuale dei certificati diventa matematicamente insostenibile a questo ritmo.

I controlli di salute globali esaminano l'endpoint HTTPS di ciascun dominio da più posizioni geografiche a intervalli regolari. Se un rinnovo del certificato fallisce o un certificato si avvicina alla scadenza, il sistema di monitoraggio genera avvisi proattivi, rilevando i guasti prima che i visitatori incontrino avvisi del browser. Questo sostituisce il modello reattivo di scoperta dei certificati scaduti attraverso le lamentele degli utenti.

Linh Tran - Infrastructure Engineer

Linh handles the backend systems that keep RedirHub fast and reliable. Her work revolves around performance, scalability, and making sure redirects happen instantly, no matter where users are. She likes solving complex problems quietly.