skip to Main Content

Benvenuti

Sistematica SpA è l’azienda capofila operativa di un gruppo di PMI denominato “Gruppo Sistematica”, oggi controllata da S.M.R.E. Spa, società quotata al segmento AIM di Borsa Italiana.

Il Gruppo è nato a Terni nel 1996 da specialisti del settore informatico provenienti da alcune tra le più importanti aziende italiane del ramo IT. La partecipazione, con compiti di assoluto rilievo, a progetti ad elevato livello di specializzazione, ci hanno permesso di diventare, in questi 20 anni di vita aziendale, una realtà con quasi 15 milioni di ricavi annui e circa 100 risorse tecniche distribuite in 4 sedi sul territorio nazionale

Rimani in Contatto

Email: info@top-ssl.it
Phone: +39 0744 61221
Address: Viale D. Bramante 43, 05100 Terni (TR)

Dove siamo

+39 0744 61221 info@top-ssl.it Login / Register

Importanti novità all’orizzonte per i certificati TLS /SSL

I programmi di Root e il CA/Browser Forum contribuiscono in maniera significativa alla definizione dei requisiti di uniformità dei certificati TLS /SSL, che le autorità di certificazione (CA) devono rispettare per proteggere gli utenti online. Un esempio in questo senso è la riduzione della validità massima dei certificati a 397 giorni, divenuto effettivo dal 1 settembre dello scorso anno.

In questo articolo ci concentreremo su alcune nuove importanti novità, che interesseranno i certificati digitali nei prossimi mesi.

certificati_tls_loading

Le CA devono verificare i nomi di dominio e gli indirizzi IP non più di 398 giorni prima dell'emissione del certificato TLS /SSL.

L’annuncio durante il meeting di Bratislava del 20 febbraio 2020 da parte di Apple di voler limitare la validità dei certificati TLS /SSL non aveva influito sul periodo di riutilizzo della convalida del dominio e dell’organizzazione. Quest’ultimo, infatti, poteva essere fatto entro un tempo decisamente lungo: circa 2 anni (825 giorni a voler essere precisi).  

Dal 1 ottobre 2021 le cose cambieranno e questo periodo sarà limitato a 398 giorni. Secondo alcuni studi, in molti casi, durante le modifiche alla proprietà del dominio, i certificati possono continuare ad essere sostituiti ed emessi dalla CA precedente. Un modo per rimediare a tutto ciò è quello di ridurre il periodo di riutilizzo della convalida del dominio.

Prima dell’annuncio di Apple il tempo tra la convalida del dominio e la scadenza del certificato era di 1650 giorni. Con la riduzione della validità massima, la differenza è invece scesa a 1223 giorni. Infine, con quest’ultima modifica, la differenza massima sarà ridotta a 796 giorni, in altre parole un periodo di poco superiore a 2 anni. 

La CA che emette il maggior numero di certificati, Let’s Encrypt, applica una validità massima di novanta giorni e una convalida del dominio di trenta. Molto probabilmente nei prossimi anni il settore tenderà proprio verso questa linea e forse si spingerà verso scadenze sempre più brevi.

La convalida del dominio HTTP non sarà possibile per l'emissione di sottodomini e wildcard

Il metodo di convalida del dominio HTTP viene comunemente usato dalle autorità di certificazione per verificare il controllo del dominio. Attraverso questo metodo il proprietario del dominio ospita un file in una directory del sito, dimostrando il controllo sul dominio per il quale richiede il certificato.

Purtroppo a differenza del DNS, i siti Web non hanno gli stessi controlli per cui è prevista una delega formale delle autorizzazioni dal dominio ai sottodomini. Quindi, se ad esempio ilmiosito.com viene violato da un hacker, può validare ilmiosito.com e quindi emettere certificati digitali anche per i relativi sottodomini. 

Per questo motivo a partire dal 1 dicembre 2021 l’emissione di certificati TLS /SSL contenenti domini convalidati con il metodo HTTP sarà possibile solo per l’emissione del dominio verificato. 

Il divieto di utilizzo del campo Organizational Unit (OU)

Ultima novità è quella riguardante il dibattuto campo Organizational Unit (OU) nei certificati TLS /SSL.  

Infatti, a differenza degli altri attributi (organization, localty, state or province name, country name, organization, etc.), per OU non è richiesto che i dati siano ottenuti da una banca dati aziendale. La CA deve solo impedire che l’attributo in questione includa un nome, un nome commerciale, un marchio, un indirizzo, la posizione o altro testo che si riferisce a una persona fisica o giuridica specifica, a meno che la CA non abbia verificato tali informazioni. 

È chiaro come questo possa comportare problemi di affidabilità. I clienti potrebbero, infatti, fornire dati non convalidati e quindi potenzialmente fuorvianti. È per questo motivo che da diverso tempo Google è in prima linea per quanto riguarda la convalida del campo OU e ne richiede la rimozione. 

Questo campo è utilizzato in molti casi per aiutare le aziende nella gestione dei certificati digitali, specificando il reparto a cui appartiene il certificato. Tuttavia bisogna ricordare che l’obiettivo primario dei certificati TLS/ SSL non è questo, piuttosto è di aiutare gli utenti a capire se possono fidarsi o meno del sito web.  

I clienti devono essere consapevoli di questo cambiamento. Sebbene non sia stata fissata alcuna data, nei prossimi mesi sarà eliminato gradualmente l’uso generale del campo OU e verranno raccolti input per i programmi root sul motivo per cui alcuni continuano a necessitare di questo attributo.

Come sempre, continueremo ad aggiornarvi sull’evoluzione e le ultime tendenze del settore. Top SSL mette a disposizione delle imprese i suoi servizi e prodotti digitali per ridurre i rischi e controllare i costi relativi alla gestione dei certificati TLS /SSL. Non esitare a contattarci!

Rimani in Contatto con Noi

Se hai una domanda inviaci una mail.
Sarai ricontattato dal  Nostro servizio Clienti  al più presto.

Back To Top
0
Connecting
Please wait...
Send a message

Sorry, we aren't online at the moment. Leave a message.

Your name
* Email
* Describe your issue
Login now

Need more help? Save time by starting your support request online.

Your name
* Email
* Describe your issue
We're online!
Feedback

Help us help you better! Feel free to leave us any additional feedback.

How do you rate our support?