Microsoft: non cancellate i certificati digitali root scaduti. Servono ancora

Nel corso degli ultimi mesi diversi esperti hanno ripetutamente messo in guardia circa l’utilizzo, in molti dispositivi di varia natura (ad esempio vecchi device e prodotti IoT), di certificati digitali root con scadenza al 31 dicembre 2020.
Certificati scaduti possono causare l’impossibilità di stabilire un collegamento sicuro con il dispositivo e bloccare i trasferimenti di dati da e verso lo stesso device: HTTPS, come funziona e cosa c’è da sapere.

I certificati digitali di tipo root o radice contengono una chiave pubblica che identifica l’autorità di certificazione corrispondente. Tali documenti digitali sono utilizzati per generare e firmare tutti i certificati generati a partire da essi.
Anche i certificati root hanno un periodo di validità e una data di scadenza superata la quale tali documenti e tutti i certificati derivati non sono più validi. Di solito non è un problema perché i produttori dei dispositivi rilasciano un aggiornamento che sostituisce il certificato root scaduto o vicino alla scadenza.
Quando la sostituzione del vecchio certificato non avviene, il dispositivo non può generalmente più stabilire connessioni di rete, installare software, scambiare dati e così via proprio perché sono venute meno le garanzie poste in essere dal certificato root.

In Windows, per verificare la data di scadenza dei certificati root in uso sul sistema, basta premere la combinazione di tasti Windows+R, digitare certmgr.msc e cliccare sulla voce Autorità di certificazione radice attendibili.
Nel pannello di destra si noterà che il certificato di root Microsoft Root Authority emesso nel 1997 scadrà proprio il prossimo 31 dicembre (e il giorno dopo un paio di certificati Thawte).

Da parte sua Microsoft ha esortato gli utenti a non cancellare assolutamente i certificati digitali root scaduti in Windows.
Come viene spiegato in questo documento di supporto, “alcuni certificati root sono necessari e richiesti per il corretto funzionamento del sistema operativo. La rimozione di tali certificati potrebbe limitare le funzionalità del sistema operativo o causare problemi. Anche i certificati scaduti non devono essere rimossi da Windows perché richiesti per questioni di retrocompatibilità. Fintanto che i certificati scaduti non vengono revocati essi possono essere utilizzati per validare qualunque cosa sia stato firmato prima della scadenza“.

Con l’avvento del nuovo anno sarà comunque da verificare se l’utilizzo di un certificato root scaduto possa in seguito determinare qualche problema. Quando a maggio 2020 un altro certificato di AddTrust superò la data di scadenza, alcuni dispositivi smisero di funzionare correttamente.