Dal 1º settembre 2020, i certificati SSL/TLS possono essere emessi per un periodo massimo di 13 mesi (397 giorni). Per chi gestisce un sito web, la ridotta validità dei certificati significa un maggior impegno. Per gli utenti e le CA (Certification Authority) una maggiore sicurezza. Cosa cambierà con una validità ridotta dei certificati SSL/TLS?
Perché viene ridotta la validità dei certificati SSL/TLS?
Un vantaggio tecnico di un certificato SSL/TLS con una validità ridotta è riconducibile alla maggiore velocità e facilità con cui possono essere eseguite modifiche e aggiornamenti.
La modifica nell’algoritmo di Secure Hash (SHA) funge da esempio negativo: la transizione da SHA1 a SHA2 ha richiesto ben tre anni, dal momento che i certificati non potevano essere riemessi a causa della loro estesa validità. Se la CA o il rivenditore non vogliono revocare i certificati validi uno per uno e costringere il cliente a una nuova emissione, gli aggiornamenti e le modifiche richiedono più tempo, spesso bisognerà aspettare la scadenza del certificato.
Un ulteriore vantaggio è legato alla veridicità dei dati. Se un certificato ha validità un anno, l’identità dietro il certificato dietro può essere verificata e confermata dopo 12 mesi e non dopo due, tre o più anni come avveniva in passato. Gli intervalli più brevi garantiscono una maggiore sicurezza su Internet.
Vale la pena investire in un certificato SSL a pagamento?
Il trend verso validità sempre più brevi
Non è la prima volta che viene cambiata la durata di validità dei certificati SSL/TLS. Prima del 2015 la validità massima era di ben 5 anni. Poi la svolta: i 5 anni sono diventati 3 nel 2018 e successivamente due. Nell’agosto 2018, Google ha suggerito di abbreviare la validità ad un anno. La proposta era però stata respinta dalla maggioranza dei presenti in occasione del CA/B-Forum (Certification Authority/Browser Forum).
Eppure a marzo 2020 Apple decide di ridurre la validità dei certificati per Safari. La modifica per contrassegnare come sicuri solo i certificati con una validità di un anno, è stata annunciata per la prima volta da Apple per il suo browser Safari in occasione del CA/B-Forum del 2020. Il programma di root di Apple, che partecipa al forum con il browser Safari, ha apportato una modifica che è diventata un requisito per tutti i programmi di root. Alla base dell’accettazione della modifica da parte dell’interno CA/B-Forum c’è l’interoperabilità richiesta dei programmi di root e dei browser.
Alla fine di giugno 2020, Google ha annunciato di voler sincronizzare le modifiche con il suo programma di root. Le conseguenze del runtime ridotto in Apple Safari e le reazioni degli utenti saranno evidenti solo nei prossimi mesi.
Decisione da parte degli operatori browser
Le CA e i browser dipendono uno dall’altro. I browser utilizzano i certificati per valutare l’affidabilità dei siti web e per rendere più sicure le connessioni. Le CA traggono vantaggio dalla visualizzazione dei certificati nei browser, poiché altrimenti ai visitatori del sito web non sarebbe possibile vedere il livello di sicurezza del sito.
Il processo associato ai certificati viene gestito tramite programmi di root. I quattro programmi più conosciuti appartengono a Microsoft, Apple, Mozilla e Google. Questi nomi non sono noti per i loro programmi di root. Essi sono anche i quattro operatori dietro i browser web più utilizzati su mobile e desktop. Affinché i certificati possano essere classificati come affidabili, le CA devono aderire alle linee guida del programma di root e quindi anche a quelle dell’operatore del browser. È per questo che viene organizzato il CA/B-Forum, il cui compito è rendere più semplici le modifiche ai programmi di root e creare linee guida uniformi.
Se hai un e-commerce non puoi ignorare la crittografia SSL
Cosa comparta una validità ridotta per gli operatori di siti web?
Nulla cambierà per gli operatori di siti web che hanno acquistato i propri certificati SSL prima del 1º settembre 2020 o che desiderano comunque acquistarli. Il certificato rimane valido fino alla data di scadenza. Non sarà però possibile estendere il certificato per altri due anni. I certificati di due anni rimarranno validi, ma non verranno più rilasciati dopo il 1º settembre 2020. In futuro, tuttavia, quando i certificati SSL/TLS verranno emessi solo per una durata di un anno, gli operatori dei siti web saranno costretti a investire tempo e denaro per integrare correttamente i “nuovi” certificati SSL/TLS. In cambio, il traffico dati nella rete sarà reso più sicuro e sarà aumentata l’affidabilità dei siti protetti con SSL.
Solo questione di soldi