Rivoluzione certificati SSL/TLS: durata ridotta a 47 giorni entro il 2029

Il CA/Browser Forum ha approvato una misura storica destinata a trasformare profondamente la gestione dei certificati SSL/TLS: la riduzione progressiva della loro validità fino a soli 47 giorni entro marzo 2029. Si tratta di una decisione che segna una svolta epocale per l’intero ecosistema della sicurezza digitale sul Web.

Consorzio composto dalle principali Certificate Authority (CA) e dai produttori di browser con l’obiettivo di stabilire linee guida comuni per l’emissione e la gestione dei certificati digitali, CA/Browser Forum vede la partecipazione di nomi di peso come DigiCert, GlobalSign, Google, Apple, Mozilla e Microsoft. La proposta di riduzione della vita dei singoli certificati è stata lanciata da Apple e ha ricevuto ampio consenso, con il supporto esplicito di Google Chrome, Mozilla e Sectigo. Il voto finale ha fatto registrare 25 consensi e nessun contrario.

La roadmap della transizione: date chiave per la riduzione della vita dei certificati digitali

Il piano adottato prevede una riduzione graduale del periodo di validità dei certificati SSL/TLS e della relativa Domain Control Validation (DCV). Quest’ultima corrisponde al processo mediante il quale una CA verifica che l’entità che richiede un certificato SSL/TLS abbia effettivamente il controllo sul dominio per cui il certificato è emesso. È un meccanismo di sicurezza che serve a prevenire che qualcuno possa ottenere un certificato per un dominio che non gli appartiene, evitando così attacchi come il domain spoofing e l’intercettazione del traffico HTTPS.

Con le nuove regole approvate dal CA/Browser Forum, la validità della DCV sarà ridotta a soli 10 giorni entro il 2029, il che significa che la verifica del controllo sul dominio dovrà essere ripetuta frequentemente. Attualmente, la validità della DCV è pari a 398 giorni, quindi un’entità può ottenere più certificati in quel periodo senza dover ripetere la verifica.

Ecco il calendario ufficiale:

• 15 marzo 2026: validità dei certificati ridotta da 398 a 200 giorni (DCV inclusa).
• 15 marzo 2027: ulteriore riduzione a 100 giorni.
• 15 marzo 2029: validità ridotta a 47 giorni e DCV a 10 giorni.

Obiettivi e sfide per gli amministratori

La revisione della durata dei certificati risponde a diverse esigenze strategiche:

• Riduzione del rischio crittografico: certificati a lunga durata aumentano i problemi derivanti dall’utilizzo di algoritmi ormai superati, chiavi compromesse e dati obsoleti.
• Miglioramento della reattività: una rotazione più frequente dei certificati limita i danni in caso di compromissione.
• Stimolo all’automazione: la complessità della gestione manuale renderà inevitabile l’adozione di sistemi automatici di rinnovo basati su protocolli come ACME (usato da Let’s Encrypt e da diversi provider cloud).

Per molte realtà aziendali e amministratori di sistema che gestiscono numerosi domini, la misura rappresenta una sfida organizzativa rilevante. Il ciclo di emissione, validazione, installazione e testing dei certificati dovrà avvenire con una frequenza più che quadruplicata rispetto a oggi. Senza un’infrastruttura di automazione, il rischio di interruzioni del servizio e messaggi di errore del tipo “la connessione non è privata” diventa concreto.

SSL/TLS oggi: fondamenta della fiducia online

I certificati SSL/TLS sono elementi essenziali per lo scambio sicuro dei dati sulla rete Internet. Autenticano i siti Web, garantendo l’identità del soggetto intestatario del nome di dominio; crittografano il traffico HTTPS, proteggendo dati sensibili come password, numeri di carte e informazioni personali; assicurano l’integrità dei dati, impedendo alterazioni nel traffico tra client e server.

Una gestione inefficiente o l’uso di certificati scaduti mina alla base la fiducia degli utenti, causando danni reputazionali e operativi.

Credit immagine in apertura: iStock.com – Aree Sarak