Attenzione utenti Let's Encrypt: niente più notifiche via email

Autorità di certificazione (CA) gratuita e automatizzata, dal 2014 Let’s Encrypt promuove l’adozione del protocollo HTTPS con l’emissione di certificati a costo zero. L’iniziativa, promossa da Mozilla, Electronic Frontier Foundation, Internet Security Research Group, Akamai, Cisco e altre aziende, ha rivoluzionato il modo con cui i certificati SSL/TLS sono generati e gestiti, rendendo il processo molto più accessibile e semplice per utenti e webmaster.

A partire dal 4 giugno 2025, Let’s Encrypt ha annunciato che smetterà di inviare notifiche via email agli utenti per informarli della scadenza dei loro certificati digitali. Il servizio, fornito fin dalla fondazione di Let’s Encrypt, era un vero e proprio pilastro nella gestione dei certificati per milioni di utenti in tutto il mondo.

Cosa cambia se Let’s Encrypt non avvisa più via email della scadenza dei certificati digitali

Da metà degli anni ’10 a oggi, Let’s Encrypt ha emesso miliardi di certificati e ogni giorno ne rilascia, su richiesta degli interessati, qualcosa come 5-6 milioni. Consultando le statistiche condivise dall’autorità di certificazione, sono invece quasi 500 milioni i certificati digitali attivi, effettivamente utilizzati su scala globale per fornire servizi agli utenti.

Pensate al traffico email che ogni giorni si ingenera da e verso i server Let’s Encrypt con riferimento al meccanismo di emissione e notifica delle scadenze.

Let’s Encrypt afferma che è giunta l’ora di “chiudere i rubinetti” e di non informare più amministratori di server Web e utenti circa la scadenza dei loro certificati. Negli ultimi 10 anni, infatti, sempre più utenti hanno implementato processi affidabili e automatizzati per il rinnovo dei certificati. Sul sito di Let’s Encrypt è ad esempio presentato Certbot, un meccanismo disponibile per vari server Web, che si occupa di gestire – dialogando con i server dell’autorità – le procedure di emissione, rinnovo ed, eventualmente, revoca.

D’ora in avanti, quindi, chi usa i certificati Let’s Encrypt deve verificare il perfetto funzionamento del sistema di aggiornamento degli stessi, assicurandosi che la procedura operi senza la necessità di alcun intervento manuale.

Let’s Encrypt suggerisce anche l’utilizzo di Red Sift Certificates Lite, uno strumento software che consente la gestione gratuita di un numero massimo di 250 certificati, proponendosi come una valida alternativa per mantenere il controllo sulle scadenze.

Gli altri motivi per cui Let’s Encrypt dice basta alle notifiche

Il mantenimento di milioni di indirizzi email associati ai record di emissione dei certificati, rappresenta una potenziale vulnerabilità in termini di privacy. Eliminare questa dipendenza rafforza l’impegno dell’organizzazione verso un approccio più riservato e sicuro.

L’autorità di certificazione aggiunge inoltre che la gestione del servizio di notifica comporta spese annuali che ammontano a milioni di dollari. Tali risorse che possono essere meglio investite in infrastrutture e servizi più strategici.

Ancora, le notifiche di scadenza aggiungono complessità al sistema. La loro eliminazione ridurrà la possibilità di errori e faciliterà l’integrazione di nuovi componenti nei futuri servizi.

In definitiva, la decisione di Let’s Encrypt rappresenta sì un cambiamento significativo, ma si inquadra nella volontà di adattarsi alle esigenze degli utenti, sempre più orientate all’automazione e alla sostenibilità.

Credit immagine in apertura: iStock.com – Aree Sarak