Certificato digitale: cosa accade se il certificato SSL / TLS scade?

Una delle domande che più frequentemente ci viene posta è: cosa succede se non rinnovo il mio certificato digitale in tempo è questo scade? 

Difficile dare una risposta univoca. Comunque sia, come abbiamo visto nel caso di Spotify e GitHub, le conseguenze della scadenza del certificato SSL / TLS possono essere piuttosto gravi per un’azienda.  

In questo articolo scopriremo proprio cosa succede quando il tuo certificato SSL / TLS esaurisce il suo ciclo vitale e vedremo come evitare che questo accada senza che tu te ne accorga. 

Iniziamo rispondendo al quesito che ci siamo posti all’inizio di questo articolo. L’installazione di un certificato digitale sul server del tuo sito web permette di creare una connessione sicura e crittografata, proteggendo  i dati che vengono scambiati con gli utenti.  

Purtroppo i certificati SSL / TLS non sono eterni, ma sono soggetti ad una scadenza. Esiste, infatti, il CA/Browser Forum, organismo di regolamentazione del settore, che stabilisce gli standard che le CA devono seguire per emettere certificati digitali affidabili. Tali standard impongono che i certificati SSL possono avere attualmente una durata massima di 13 mesi (397 giorni per essere precisi).

Questo vuol dire che ogni sito internet deve rinnovare o sostituire il proprio certificato SSL / TLS almeno una volta ogni tredici mesi. Se questo non avviene, i browser degli  utenti mostrerà un avviso simile a questo.

Non c’è bisogno di dire quanto questa eventualità sia negativa in termini di traffico e di vendite per il tuo sito internet. Chi si fiderebbe a trasmettere gli estremi della propria carta di credito o i propri dati personali ad un sito sospetto? Praticamente nessuno. 

L’utente medio potrebbe non essere molto informato sugli eventuali rischi informatici che corre, ma sa che il web è pieno di frodi di ogni genere. Quindi se il suo browser gli comunica che la connessione non è sicura, molto probabilmente lo ascolterà senza pensarci due volte.

Come accennato in precedenza, in sostanza i certificati SSL / TLS aiutano ad assicurare due cose: la crittografia e autenticazione dell’identità digitale. Quest’ultima è la principale responsabile della scadenza di un certificato. 

Ogni certificato digitale, infatti, è un’autenticazione e come tale, a volte necessita che le informazioni utilizzate siano convalidate per assicurarsi che siano veritiere e aggiornate. Le CA devono verificare che le informazioni che stanno utilizzando siano il più complete e accurate possibili. La stessa Google ha più volte affermato che in un mondo ideale la convalida dovrebbe avvenire quattro volte al giorno, ogni sei ore circa.

Inoltre, da un punto di vista tecnico avere periodi di validità più brevi rende più facile implementare le modifiche in maniera più rapida. Maggiore è la durata del certificato digitale e maggiore sarà il tempo necessario per distribuire organicamente gli aggiornamenti e le eventuali modifiche. 

Un esempio in questo senso è quanto avvenuto per la transizione da SHA1 a SHA2. Nel caso di SHA1, infatti, sono stati necessari circa tre anni per completare questa transizione, creando non pochi rischi da un punto di vista della sicurezza informatica.

Le grandi realtà organizzative hanno maggiori difficoltà quando si tratta di garantire la gestione di più certificati SSL / TLS. Mentre le PMI possono avere solo uno o una manciata di certificati digitali da gestire, le grandi aziende, invece, hanno un’infrastruttura maggiore, più dispositivi connessi e quindi molti più certificati SSL / TLS da tenere sotto controllo.

Dimenticare di rinnovare o sostituire un certificato SSL in scadenza può capitare a chiunque. A livello aziendale la scadenza di un certificato SSL è solitamente il risultato di una mancata supervisione, non di incompetenza. 

Il modo migliore per evitare questo problema, a qualsiasi livello, è l’automazione. Le aziende dovrebbero, infatti, disporre di un sistema di gestione del ciclo di vita dei certificati digitali in grado di coprire molteplici processi come:

• generazione delle chiavi pubbliche / private e richiesta di firma del certificato utilizzando algoritmi di crittografia aggiornati;
• iscrizione (richiesta e recupero);
• provisioning / installazione del certificato digitale negli endpoint previsti;
• rinnovo e revoca del certificato digitale.

Utilizzando un servizio automatizzato di gestione del ciclo di vita dei certificati SSL / TLS, gli amministratori possono controllare in maniera continua i loro certificati digitali, con la possibilità di generare audit e monitorare la loro durata, le scadenze e i rinnovi.

Oggigiorno molte aziende si affidano a fornitori per la gestione del ciclo di vita dei loro certificati SSL / TLS come GlobalSign. Infatti, soluzioni PKI completamente automatizzate come Auto Enrollment Gateway (AEG) consentono l’automazione dei certificati per server e dispositivi mobile, semplificando la gestione e riducendo lo sforzo, il tempo e i costi associati alla gestione di un numero ampio di certificati SSL / TLS.  

Top SSL, rivenditore ufficiale GlobalSign,  offre tutti gli strumenti e i prodotti SSL per le imprese e i privati che vogliono garantire la sicurezza dei propri utenti, rispondere alle minacce e gestire in maniera efficiente i costi relativi alla gestione dei certificati SSL / TLS. Non perdere altro tempo prezioso, contattaci!