A partire da settembre 2020, il browser web Safari di Apple segnalerà come non sicuri tutti i certificati SSL con una durata di oltre 398 giorni. “Sito non sicuro”, un’indicazione che gli utenti non vorrebbero di certo leggere nella barra del browser quando visitano il tuo sito web. Da settembre questa purtroppo potrebbe accadere molto più spesso su Safari con ricadute sul traffico e sul fatturato. È bene dunque capire cosa cambierà e come agire di conseguenza.
Certificati SSL su Safari validi per non più di 398 giorni
In occasione del CA/Browser Forum, tenutosi a Bratislava, in Slovacchia, il 19 febbraio 2020, i produttori di browser e gli organismi di certificazione hanno discusso di navigazione e sicurezza informatica. Apple ha qui annunciato che dal 1° settembre 2020 il suo browser web Safari darà la propria fiducia solo a certificati SSL con una validità di non più di 398 giorni. Non c’è bisogno di ricorrere ai ripari, la decisione non ha un valore retroattivo, ovvero sono interessati solo i certificati rilasciati dopo questa data. Non devi quindi sostituiti o modificati il tuo certificato SSL attuale. I certificati SSL emessi fino al 31 agosto 2020 con una validità di due anni potranno essere utilizzati fino alla loro scadenza.
Perché Apple ha deciso di ridurre la durata dei certificati SSL su Safari?
Un certificato rinnovato annualmente porta con sé maggiori controlli al sito web. Più spesso un certificato SSL deve essere rinnovato, più spesso l’operatore di un sito web è sottoposto a controllo da parte delle autorità di certificazione. In questo modo, possono essere identificare in tempi più brevi le pagine fake, affinché il mondo di Internet sia più sicuro per i suoi utenti. D’altro canto, anche gli operatori di siti web traggano vantaggio dalla possibilità di utilizzare certificati SSL affidabili per infondere fiducia nei loro siti web e nel loro brand. Ciò garantisce più traffico e quindi maggiori profitti.
Quali sono gli effetti della validità ridotta di un certificato SSL su Safari?
Se disponi già di un certificato SSL a lungo termine sarò valido oltre il 1° settembre 2020 e continuerà a essere classificato come sicuro da Safari. Insomma, tutti i certificati SSL con validità di due anni emessi fino al 31 agosto potranno essere acquistati e utilizzati senza un termine di scadenza ridotto. Se acquisti invece un certificato di due anni dopo tale data, il browser web Safari indicherà come sicuro il tuo sito solo per 398 giorni.
Cosa significa questa modifica per i fornitori di certificati SSL?
I fornitori di certificati SSL possono continuare ad offrire ed emettere i certificati con un termine superiore a 398 giorni prima della scadenza del 1° settembre 2020, poiché rimarranno validi per tutta la loro durata. Dopo tale data è importante informare gli utenti delle disposizioni di Apple.
Altri browser potrebbero seguire l’esempio?
Per adesso la modifica alle disposizioni generali di validità riguarda solo Safari di Apple, ma altri browser web potrebbero certamente seguire l’esempio e adeguare di conseguenza le condizioni dei certificati.
La validità consigliata dei certificati SSL è già cambiata diverse volte nel corso degli anni. Dopo una decisione presa al CA/Browser Forum a marzo 2018, i certificati SSL possono avere una validità massima di due anni. L’anno scorso, Google aveva presentato un’ulteriore proposta, la quale è stata immediatamente respinta: limitare il termine a un anno.
Il rifiuto della proposta del CA/Browser Forum è dovuto alle conseguenze che un tale cambiamento potrebbe avere per gli operatori dei siti web: più breve è la durata dei certificati, maggiori sono i costi e gli sforzi. Certificati con una più ampia validità nel tempo comportano sforzi minori. Questa proposta di Google risalente all’anno scorso, suggerisce che tra i browser web c’è un progetto condiviso di ridurre la validità dei certificati SSL.
Fino a un nuovo annuncio, dal 1° settembre 2020 solo i siti web visitati tramite Safari su Mac, iPhone saranno contrassegnati come non sicuri se il certificato è stato emesso da più di 398 giorni.
Non tutti i certificati SSL sono uguali! Impara a riconoscerli qui.