Apple limita la validità dei certificati SSL a 398 giorni per Safari

Diversi mesi fa era molto sentito tra gli esperti di settore il dibattito riguardante la durata dei certificati SSL / TLS. La discussione piuttosto lunga e animata si era conclusa con la decisione da parte delle Certification Authority (CA) di ridurre la validità massima dei certificati SSL / TLS per un periodo di un anno. 

È di qualche settimana fa, invece, l’annuncio di Apple al Meeting CAB Forum a Bratislava  di voler limitare la validità dei certificati SSL / TLS a 398 giorni (un anno più un mese circa per facilitare il rinnovo). In sostanza a partire dal 1° settembre 2020 i siti web che utilizzano i certificati SSL / TLS a lungo termine verranno etichettati come non sicuri da Safari e dai vari device di proprietà dell’azienda di Cupertino.

L’impatto di questa decisione non avrà ripercussioni sui consumatori fino al 1° settembre 2020. Dopo questa data però, il certificato SSL / TLS emesso non potrà essere valido per più di 398 giorni, altrimenti sarà diffidato dai sistemi operativi a marchio Apple. Inoltre, date le loro precedenti dichiarazioni, è molto probabile che anche altri produttori di browser come Google e Mozilla decidano di seguire la strada tracciata da Apple e di allinearsi a questa scadenza. 

Ciò significa che dal 1 ° settembre non esisterà un’opzione di certificato SSL / TLS di due anni se si desidera che il proprio sito funzioni per gli utenti che utilizzano Safari. È importante quindi ricordare di ottenere un nuovo certificato prima del prossimo 1° settembre e abituarsi a sostituire o rinnovare i certificati più frequentemente rispetto al recente passato. I certificati SSL / TLS che sono stati emessi validamente oggi rimarranno validi fino alla data di scadenza, dopo però il rinnovo dovrà essere necessariamente annuale. 

La decisione di Apple di ridurre a 398 giorni la validità massima dei certificati SSL / TLS è essenzialmente per una questione di sicurezza dei suoi utenti. In generale i browser sostengono da diverso tempo la loro preferenza per i certificati SSL che hanno periodi di validità più brevi. Una validità del certificato più breve, in teoria, significa una maggiore sicurezza sia in termini di una ridotta esposizione alle minacce di compromissione della chiave privata, sia di una verifica dell’identità più frequente nel caso in cui ci siano cambiamenti dell’identità SSL (ad esempio il nome dell’organizzazione, l’indirizzo e i domini attivi). L’obiettivo principale dei browser è quindi di proteggere i loro utenti da qualsiasi tipo di uso improprio dei certificati da parte di soggetti fraudolenti.  

Questa decisione ha conseguenze notevoli per chi si trova a gestire il rinnovo di più certificati SSL / TLS. Le organizzazioni, infatti, avranno bisogno di automatizzare i processi di rinnovo, di certificate deployment e di gestione del ciclo vitale dei certificati SSL / TLS in modo da minimizzare il rischio di errore umano e la mole di lavoro degli sviluppatori. 

A tal proposito esistono numerose soluzioni a costi accessibili per automatizzare queste procedure. Ad esempio la piattaforma Managed PKI basata su cloud GlobalSign®, che consente di gestire in maniera centralizzata tutti i certificati digitali legati a diverse aziende attraverso un unico account. Managed PKI attraverso il rilascio automatizzato, le API flessibili per l’integrazione con i sistemi aziendali e la gestione completa del ciclo di vita dei prodotti,  consente di ridurre in maniera notevole, le risorse e soprattutto i costi legati alla gestione dei certificati digitali.