Il forum delle CA e dei browser ha deciso di ridurre a 47 giorni la vita dei certificati SSL/TLS entro il 2029

Raoul Scarazzini

Il CA/Browser Forum è un gruppo che riunisce le Certificate Authority (CA), entità riconosciute come credibili per il rilascio dei certificati, e gli sviluppatori dei browser, che si affidano alle CA per garantire il funzionamento delle connessioni SSL/TLS.

I lucchetti verdi che appaiono nelle connessioni verso i vari siti, e che ormai dovrebbero essere lo standard (e qualcuno come Cloudflare sta davvero cercando di bloccare l’uso di HTTP non cifrato), funzionano con la combinazione CA/browser: ci si connette al sito, questo restituisce un certificato che il browser prima controlla per quanto riguarda data e nome del sito (CN, il Common Name) e poi mediante l’autenticità che solo la CA può garantire.

Allora, solo allora, un certificato viene considerato valido.

Questo breve riassunto introduce la notizia di oggi, riportata da Bleeping Computer, che riguarda da vicino CA e sviluppatori di browser i quali, riuniti appunto nel CA/Browser Forum, hanno deciso di portare la durata dei certificati a 47 giorni entro il 2029.

La proposta è partita nel 2024 da Apple, per via degli ormai noti a tutti rischi, come chiavi compromesse, algoritmi obsoleti e dati non aggiornati (come il dominio o il nome dell’organizzazione).

Insomma: più breve è la durata, minore la finestra di esposizione’.

Sia le Certification Authority (DigiCert, Sectigo, GlobalSign), sia i vendor di browser (Google, Mozilla, Microsoft, e ovviamente Apple stessa) hanno accolto con favore unanime la proposta e deciso questa roadmap, parte di un piano quadriennale.

  • Il primo taglio arriva nel 2026: la durata massima dei certificati (e della validazione del dominio, DCV) passa da 398 a 200 giorni. È già una bella sforbiciata, ma gestibile ancora manualmente.
  • Un anno dopo, si dimezza ancora: 100 giorni. A questo punto diventa complicato farlo manualmente: si dovrà rinnovare tutto circa ogni tre mesi. Ecco che si spinge fortemente verso l’automazione (ad es. con ACME, come fa Let’s Encrypt).
  • Infine, nel 2029, la vera rivoluzione: solo 47 giorni di validità per il certificato e 10 giorni per la validazione del dominio.

Si fa in fretta a capire come la decisione mandi un messaggio chiaro: o automatizzi tutto, o i tuoi servizi HTTPS inizieranno a fallire a causa certificati scaduti.

Rimane il mistero sul perché siano 47 i giorni scelti e non 50, o 45.

Dall’articolo e dai vari annunci non pare esservi una spiegazione logica, ma del resto non si può mica avere tutto dalla vita.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , , , ,

6 risposte a “Il forum delle CA e dei browser ha deciso di ridurre a 47 giorni la vita dei certificati SSL/TLS entro il 2029”

  1. Avatar JustATiredMan
    JustATiredMan

    mi chiedo se il prezzo dell'emissione del certificato sarà ancora a cadenza annuale, o se sarà ogni 47 giorni e in quel caso se sarà una frazione dell'anno…. qualcosa mi dice che alla fine costerà tutto di più.

  2. Avatar amedeo lanza
    amedeo lanza

    47 morto che parla. Il web è morto ma non cielodicono !1!1

  3. Avatar JustATiredMan
    JustATiredMan

    intatti è questo che temo.
    Se la frequenza di aggiornamento sarà ridotta, anche la frequenza con cui ci si dimenticherà di farlo o magari il servizio, seppur automatizzato, possa fallire, aumenterà anch'esso, aumentanto quindi le probabilità che molti più siti faranno visualizzare il famigerato messaggio di certificato scaduto.
    Aumentando la frequenza con cui accade, anche gli utenti cominceranno ad abituarsi alla cosa, e cominceranno anche a fidarsi dei veri siti malevoli con certificati fasulli.
    Questa riduzione è evidente essere spinta solo per aumentare i profitti degli emittitori di certificati ssl, non è fatta per la sicurezza.

  4. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Questo senza ombra di dubbio, ed il risultato se possibile sarà un web ancora più insicuro, mi immagino (ma sto pensando in maniera pessimista) qualcuno che smetterà di preoccuparsi di aggiornare i propri certificati dicendo "massì non ti preoccupare".

  5. Avatar giubbe de Giubbix
    giubbe de Giubbix

    cioè devo acquistare e verificare il dominio ogni 30gg? (forse il 47 deriva da 30gg di certificato "vecchio", 10 gg di verifica dominio e una settimana di margine). Praticamente hanno trovato il modo di mettere un altro abbonamento, altro che sicurezza!

  6. Avatar Raoul Scarazzini
    Raoul Scarazzini

    E verosimilmente finirà che qualcuno smetterà di preoccuparsi di queste cose…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (12) Notizie (3155) Saturday's Talks (54)

Tag cloud

ai (70) AlmaLinux (33) Android (34) Bug (78) Canonical (85) CentOS (47) Cloud (63) container (51) Controversia (39) Debian (99) desktop (34) docker (65) Fedora (60) Firefox (37) GitHub (75) Gnome (33) Google (88) IBM (56) Intel (55) KDE (42) Kernel (256) Kubernetes (97) Linux (744) LTS (36) Malware (66) Microsoft (188) MicrosoftLovesLinux (37) Mozilla (37) open-source (392) Openstack (58) Oracle (35) Patch (35) Red Hat (170) Release (63) RHEL (41) Rust (39) SaturdaysTalks (52) Sicurezza (109) Software (41) SUSE (40) systemd (77) Torvalds (92) Ubuntu (178) Vulnerabilità (64) Windows (84)