Ecco una nuova riduzione della validità dei certificati TLS.

22/gen/2025 | Jindřich Zechmeister

La validità dei certificati SSL/TLS è già stata ridotta più volte negli ultimi 10 anni. Ora si sta discutendo di un’ulteriore riduzione fino a 45 giorni, il che significherebbe sostituire il certificato TLS fino a 9 volte all'anno!

Ma con noi, non dovete preoccuparvi. In questo articolo scoprirete cosa significa per voi e come affrontare questa situazione.

Storia dell'abbreviazione dei certificati

All'inizio dei certificati SSL mancava un chiaro regolatore per l'intero settore, che oggi è il consorzio CA/Browser Forum. Questo è stato fondato nel 2005 e il loro primo risultato è stato l'introduzione delle regole per i certificati EV due anni dopo, creando così i certificati EV.

Poco dopo, si è iniziato a discutere della validità massima dei certificati SSL, perché un coppia di chiavi poteva essere utilizzata per molti anni senza modifiche, il che non contribuisce alla sicurezza degli utenti. Nel 2015 la validità massima è stata ridotta a 3 anni (39 mesi); fino ad allora venivano emessi certificati anche per 4-5 anni. Un'ulteriore riduzione è avvenuta nel marzo 2018, quando la validità è stata limitata a 27 mesi (825 giorni).

Da settembre 2020 si è verificata un'altra riduzione. Le aziende Apple, Google e Mozilla hanno imposto che i browser considereranno non validi i certificati più vecchi di 398 giorni, il che in pratica ha fissato la validità massima a 1 anno e pochi giorni in più. Questo stato permane fino ad oggi, ma gli esperti prevedono che la validità sarà ulteriormente ridotta in futuro.

Ora Apple e Google sono di nuovo in prima linea in un'altra ondata di riduzioni e le loro proposte sono discusse nel plenum del CA/Browser Forum. Per il momento nulla è stato deciso in modo vincolante, ma la proposta di Apple è ancora più audace di quella di Google, che voleva una riduzione a 90 giorni. Attualmente la validità del certificato è limitata a 398 giorni.

Apple propone la riduzione dei certificati a 47 giorni e intende raggiungerlo gradualmente. I nuovi certificati avrebbero una validità massima ridotta in tre fasi:

• 200 giorni con effetto da marzo 2026
• 100 giorni da marzo 2027
• 47 giorni da marzo 2028

È prevedibile che questa forma sarà infine adottata. In precedenza è già successo che Apple abbia imposto le sue idee anche se la sua proposta non è stata accettata; tutti si sono comunque adattati perché il suo browser ha una quota di mercato considerevole.

Come prepararsi alla riduzione

Automatizzate il ciclo di vita dei certificati in anticipo: è l'unico consiglio che possiamo darvi. L'implementazione dell'automazione dei certificati non deve essere complicata e c'è ancora abbastanza tempo a disposizione. Possiamo offrirvi vari modi per automatizzare i certificati, tutti verificati nella pratica e funzionanti.

Vi consigliamo questi modi di automatizzazione:

• Protocollo ACME - protocollo standard per ottenere i certificati, funziona tramite i cosiddetti client ACME, di cui esiste una vasta gamma sul mercato. Il client solitamente è in grado non solo di ottenere il certificato, ma anche di implementarlo sul server.
• DigiCert Automation Manager - automazione basata su agenti/sensori con l'uso dell'interfaccia CertCentral. Avete una visione generale sui certificati sui vostri server e potete gestirli anche nell'interfaccia. Gli agenti poi li gestiscono sui server per voi.
• Trust Lifecycle Manager nell'ambito di DigiCert ONE è uno strumento completo e può collegarsi a strumenti e servizi di terze parti popolari. Facilita così l'integrazione soprattutto per le grandi aziende.
• Server KeyTalk CKMS o servizio. Può ottenere i certificati da solo e implementarli sui dispositivi finali nella vostra azienda. Può essere utilizzato per l'automazione dei certificati TLS, ma anche S/MIME.
• Integrazione propria della nostra API o API CA DigiCert.

I primi quattro esempi possono gestire l'intero ciclo di vita del certificato, cioè dalla sua richiesta alla sua emissione fino all'implementazione (su un server compatibile). Tutto è coperto e non dovete preoccuparvi di nulla. Se create un'automazione propria e implementate la nostra API, otterrete il certificato, ma l'implementazione sul server resta sotto la vostra responsabilità.

Non esitate a contattarci il prima possibile e lasciatevi consigliare su come automatizzare i vostri certificati TLS oggi senza costi aggiuntivi.

Perché sta avvenendo la riduzione?

Apple e Google sono convinti che la riduzione dei certificati in generale contribuirà alla sicurezza su Internet. Di seguito troverete alcuni dei principali argomenti per la riduzione; il vantaggio più frequentemente menzionato è l'aumento della sicurezza degli utenti grazie alla rotazione più frequente delle chiavi.

Vantaggi di certificati più brevi

I certificati con una validità più breve contribuiscono a migliorare la sicurezza perché possono portare rapidamente nuove tecnologie in caso di necessità. Uno scenario simile potrebbe essere, ad esempio, il passaggio alla crittografia post-quantistica (PQC) dopo la rottura di RSA da parte di un computer quantistico (sicuramente ci aspetta in futuro). Una validità del certificato più breve assicura che i nuovi algoritmi raggiungano i server più rapidamente.

Un altro motivo può essere la minimizzazione dei danni in caso di compromissione delle chiavi. Se una chiave privata viene compromessa, una validità più breve limita il lasso di tempo in cui il certificato compromesso può essere utilizzato (la vittima solitamente non è nemmeno a conoscenza della compromissione).

Importante è anche lo sviluppo dell'automazione del ciclo di vita dei certificati, che viene accelerato da questa pressione consistente. Gli amministratori dei certificati sono costretti a utilizzare l'automazione dei certificati, il che alla fine è a loro vantaggio.

Svantaggi

Tra i principali svantaggi vi è il maggiore carico della gestione. Solitamente l'automazione lo risolve, ma ci saranno sempre casi in cui non è facile o possibile. Nei sistemi che attualmente non supportano l'automazione, sarà necessario attendere che il produttore aggiunga il supporto; fino ad allora gli amministratori dovranno gestire i certificati manualmente e avranno più lavoro. Le organizzazioni che non avranno introdotto l'automazione della gestione dei certificati potrebbero essere paralizzate dai rinnovi più frequenti dei certificati.

Sicuramente si verificherà anche un problema con i dispositivi IoT che non sono stati progettati tenendo conto di un ciclo di vita dei certificati più breve. Se non verranno aggiornati, probabilmente ci saranno conflitti tra questi dispositivi e i certificati utilizzati con i browser moderni.

Non esitate a consultare con noi l'automazione

Il prossimo accorciamento dei certificati è un grande cambiamento, ma con noi non sarà un problema. Contattateci e iniziate ad automatizzare i certificati; prima lo fate, meglio è per voi!

---