Importanti novità all’orizzonte per i certificati TLS /SSL

I programmi di Root e il CA/Browser Forum contribuiscono in maniera significativa alla definizione dei requisiti di uniformità dei certificati TLS /SSL, che le autorità di certificazione (CA) devono rispettare per proteggere gli utenti online. Un esempio in questo senso è la riduzione della validità massima dei certificati a 397 giorni, divenuto effettivo dal 1 settembre dello scorso anno.

In questo articolo ci concentreremo su alcune nuove importanti novità, che interesseranno i certificati digitali nei prossimi mesi.

L’annuncio durante il meeting di Bratislava del 20 febbraio 2020 da parte di Apple di voler limitare la validità dei certificati TLS /SSL non aveva influito sul periodo di riutilizzo della convalida del dominio e dell’organizzazione. Quest’ultimo, infatti, poteva essere fatto entro un tempo decisamente lungo: circa 2 anni (825 giorni a voler essere precisi).  

Dal 1 ottobre 2021 le cose cambieranno e questo periodo sarà limitato a 398 giorni. Secondo alcuni studi, in molti casi, durante le modifiche alla proprietà del dominio, i certificati possono continuare ad essere sostituiti ed emessi dalla CA precedente. Un modo per rimediare a tutto ciò è quello di ridurre il periodo di riutilizzo della convalida del dominio.

Prima dell’annuncio di Apple il tempo tra la convalida del dominio e la scadenza del certificato era di 1650 giorni. Con la riduzione della validità massima, la differenza è invece scesa a 1223 giorni. Infine, con quest’ultima modifica, la differenza massima sarà ridotta a 796 giorni, in altre parole un periodo di poco superiore a 2 anni. 

La CA che emette il maggior numero di certificati, Let’s Encrypt, applica una validità massima di novanta giorni e una convalida del dominio di trenta. Molto probabilmente nei prossimi anni il settore tenderà proprio verso questa linea e forse si spingerà verso scadenze sempre più brevi.

Il metodo di convalida del dominio HTTP viene comunemente usato dalle autorità di certificazione per verificare il controllo del dominio. Attraverso questo metodo il proprietario del dominio ospita un file in una directory del sito, dimostrando il controllo sul dominio per il quale richiede il certificato.

Purtroppo a differenza del DNS, i siti Web non hanno gli stessi controlli per cui è prevista una delega formale delle autorizzazioni dal dominio ai sottodomini. Quindi, se ad esempio ilmiosito.com viene violato da un hacker, può validare ilmiosito.com e quindi emettere certificati digitali anche per i relativi sottodomini. 

Per questo motivo a partire dal 1 dicembre 2021 l’emissione di certificati TLS /SSL contenenti domini convalidati con il metodo HTTP sarà possibile solo per l’emissione del dominio verificato. 

Ultima novità è quella riguardante il dibattuto campo Organizational Unit (OU) nei certificati TLS /SSL.  

Infatti, a differenza degli altri attributi (organization, localty, state or province name, country name, organization, etc.), per OU non è richiesto che i dati siano ottenuti da una banca dati aziendale. La CA deve solo impedire che l’attributo in questione includa un nome, un nome commerciale, un marchio, un indirizzo, la posizione o altro testo che si riferisce a una persona fisica o giuridica specifica, a meno che la CA non abbia verificato tali informazioni. 

È chiaro come questo possa comportare problemi di affidabilità. I clienti potrebbero, infatti, fornire dati non convalidati e quindi potenzialmente fuorvianti. È per questo motivo che da diverso tempo Google è in prima linea per quanto riguarda la convalida del campo OU e ne richiede la rimozione. 

Questo campo è utilizzato in molti casi per aiutare le aziende nella gestione dei certificati digitali, specificando il reparto a cui appartiene il certificato. Tuttavia bisogna ricordare che l’obiettivo primario dei certificati TLS/ SSL non è questo, piuttosto è di aiutare gli utenti a capire se possono fidarsi o meno del sito web.  

I clienti devono essere consapevoli di questo cambiamento. Sebbene non sia stata fissata alcuna data, nei prossimi mesi sarà eliminato gradualmente l’uso generale del campo OU e verranno raccolti input per i programmi root sul motivo per cui alcuni continuano a necessitare di questo attributo.

Come sempre, continueremo ad aggiornarvi sull’evoluzione e le ultime tendenze del settore. Top SSL mette a disposizione delle imprese i suoi servizi e prodotti digitali per ridurre i rischi e controllare i costi relativi alla gestione dei certificati TLS /SSL. Non esitare a contattarci!