Cos'è un CSR (Certificate Signing Request)?

Un CSR è un file di testo codificato in PEM contenente la tua chiave pubblica e informazioni di identità (soggetto, SAN). È firmato con la tua chiave privata per dimostrare il possesso. Lo invii a un'Autorità di Certificazione (Let's Encrypt, DigiCert, ecc.) che emette il certificato SSL/TLS.

Perché analizzare un CSR prima di inviarlo?

L'analisi permette di verificare che tutti i domini siano nei SAN, che la chiave sia sufficientemente forte (RSA 2048+ o EC), e che l'algoritmo di firma sia moderno (SHA-256). Questo evita rifiuti e scambi con l'Autorità di Certificazione.

Quali campi sono essenziali in un CSR?

I SAN (Subject Alternative Names) sono obbligatori per elencare tutti i domini coperti. Il CN (Common Name) è spesso ignorato dalle CA moderne. La chiave pubblica deve essere RSA 2048 bit minimo o EC P-256/P-384. La firma deve usare SHA-256 o superiore.

Come genero un CSR con SAN usando OpenSSL?

Crea un file san.cnf con una sezione [alt] che elenca i tuoi DNS.1, DNS.2, ecc. Poi esegui: openssl req -new -newkey rsa:3072 -nodes -keyout site.key -out site.csr -config san.cnf. Per EC: openssl ecparam -name prime256v1 -genkey -noout -out site.key poi openssl req -new -key site.key -out site.csr -config san.cnf.

RSA o Curva Ellittica (EC) per il mio CSR?

EC P-256 o P-384 offre prestazioni migliori (chiavi più corte, firme più veloci) con sicurezza equivalente a RSA 3072/4096. Per nuove implementazioni, EC è raccomandato. RSA 2048+ rimane accettabile se è richiesta compatibilità con client più vecchi.

Il mio CSR può contenere la mia chiave privata?

No, mai. Il CSR contiene solo la chiave pubblica. Non incollare mai la tua chiave privata in questo strumento o in qualsiasi servizio online. La chiave privata deve rimanere sul tuo server e non deve mai essere condivisa.

Analizzatore CSR online - Decoder certificato SSL gratuito

Perché usare questo analizzatore?

Valida ciò che apparirà sul tuo certificato prima di inviarlo a un'Autorità di Certificazione (CA). Rileva un SAN mancante, una chiave debole, un algoritmo obsoleto o una codifica IDN dubbia. Risparmia tempo durante l'onboarding o il rinnovo leggendo subito i campi utili.

Cos'è un CSR?

Un Certificate Signing Request è un file di testo in formato PEM che contiene:

La tua chiave pubblica (RSA o EC)
Informazioni di identità: soggetto (CN, O, OU, L, ST, C) e SAN
Una firma fatta con la tua chiave privata per dimostrare il possesso

Il CSR viene inviato a una CA (Let's Encrypt, DigiCert, GlobalSign, Sectigo...) che emette il certificato se la validazione passa (DV, OV o EV).

Quando generare un CSR?

Caso d'uso	Descrizione
Nuovo certificato	Creazione di un certificato TLS per server web, API, MTA
Rinnovo	Rinnovo di un certificato esistente con una nuova coppia di chiavi
Aggiunta SAN	Aggiunta di un nuovo sottodominio o FQDN al certificato
Migrazione RSA a EC	Passaggio a chiave EC per prestazioni migliori
Standardizzazione	Armonizzazione dei campi in un'infrastruttura eterogenea

Cosa deve contenere un buon CSR?

Campi obbligatori

SAN (Subject Alternative Names): elenco di tutti i nomi coperti, incluso il dominio nudo se necessario. Senza SAN, molte CA rifiuteranno.
Chiave pubblica: RSA 2048 bit minimo (idealmente 3072) o EC P-256/P-384
Firma: SHA-256 raccomandato (SHA-1 rifiutato)

Campi opzionali

Subject CN: spesso ignorato dalle CA moderne, ma mantienilo per compatibilità
O, OU, L, ST, C: utili per OV/EV, non necessari per DV
Key Usage / Extended Key Usage: a seconda delle tue esigenze specifiche

Importante: Un CN da solo non è più sufficiente. I SAN sono obbligatori per la maggior parte delle CA.

Esempi OpenSSL

CSR RSA 3072 con SAN

File san.cnf:

[ req ]
prompt = no
distinguished_name = dn
req_extensions = v3_req
[ dn ]
CN = www.esempio.com
[ v3_req ]
subjectAltName = @alt
[ alt ]
DNS.1 = www.esempio.com
DNS.2 = esempio.com

Comando:

openssl req -new -newkey rsa:3072 -nodes -keyout site.key -out site.csr -config san.cnf

CSR EC P-256 con SAN

openssl ecparam -name prime256v1 -genkey -noout -out site.key
openssl req -new -key site.key -out site.csr -config san.cnf

Nomi di Dominio Internazionalizzati (IDN)

Usa punycode (xn--...) nei SAN per evitare sorprese di codifica.

Errori comuni

Errore	Impatto	Soluzione
SAN mancanti	Il certificato copre meno nomi del previsto	Aggiungere tutti i domini nella sezione [alt]
RSA 1024 o SHA-1	Probabile rifiuto dalla CA	Usare RSA 2048+ e SHA-256
Chiave privata esposta	Compromissione della sicurezza	Mai incollare la chiave privata online
Codifica IDN errata	Dominio non riconosciuto	Usare punycode esatto
Wildcard senza dominio nudo	`*.esempio.com` non copre `esempio.com`	Aggiungere entrambi nei SAN

Best practice

Generare la coppia di chiavi lato server e tenere la chiave privata lontana da qualsiasi sistema condiviso
Preferire EC P-256/P-384 o RSA 3072+ per nuove implementazioni
Limitare la lista SAN a ciò che è effettivamente necessario
Tenere un registro: data, soggetto, SAN, dimensione chiave, persona responsabile
Testare il CSR dopo la generazione per evitare scambi con la CA

Privacy

Il tuo CSR viene inviato all'API CaptainDNS solo per essere decodificato e visualizzato. Il contenuto non viene memorizzato. Nessun campo viene registrato in chiaro. Vengono registrate solo metriche tecniche anonime (tempo di elaborazione, dimensione, tipo di chiave, algoritmo) per il monitoraggio della disponibilità.

Analizzatore di CSR

Ispeziona un CSR in pochi secondi

Decodifica istantanea

Validazione pre-invio

Analisi di sicurezza

Rilevamento errori

Esempi OpenSSL

Perché usare questo analizzatore?

Cos'è un CSR?

Quando generare un CSR?

Cosa deve contenere un buon CSR?

Campi obbligatori

Campi opzionali

Esempi OpenSSL

CSR RSA 3072 con SAN

CSR EC P-256 con SAN

Nomi di Dominio Internazionalizzati (IDN)

Errori comuni

Best practice

Privacy