Certificati SSL /TLS: la validità massima è ora di 13 mesi

A partire dal prossimo 1° settembre, i certificati SSL /TLS non potranno avere una durata superiore a 13 mesi (397 giorni per essere precisi). Questa importante novità, infatti, annunciata da Apple al Meeting CAB Forum di Bratislava dello scorso marzo, è stata confermata anche da Google nell’ultimo meeting delle autorità di certificazione e dei browser tenutosi in videoconferenza qualche settimana fa.  

Da un punto di vista teorico ci sono due vantaggi essenziali per i certificati SSL /TLS di breve durata: 

Il primo è dal punto di vista tecnico.  Una maggiore durata vuol dire che è necessario più tempo per distribuire organicamente aggiornamenti ed eventuali modifiche. Un esempio concreto è  la transizione da SHA1 a SHA2. In alcuni casi, Infatti, possono essere necessari anni prima che tutti i vecchi certificati SSL /TLS vengano sostituiti con i nuovi. Nel caso di SHA1, sono stati necessari circa tre anni per completare questa transizione, creando non pochi rischi da un punto di vista della sicurezza informatica. 

L’altro vantaggio ha a che fare con l’identità digitale. Per quanto tempo le informazioni utilizzate per convalidare un’identità sono affidabili? Più lungo è il periodo della convalida, maggiore sarà il rischio. Google ha affermato che in un mondo ideale la convalida dovrebbe avvenire circa ogni sei ore.

Prima del 2015 era possibile ottenere un certificato SSL /TLS per un massimo di cinque anni. Successivamente la durata è stata ridotta a tre anni, e poi di nuovo nel 2018 a due.  Infine, alla fine del 2019, è stato proposto un voto al CAB Forum, che l’avrebbe ridotta addirittura ad un solo anno,  venendo votato in maniera unanime dalle stesse autorità di certificazione.

A causa delle modifiche alle policies dei root store di Apple e Google, a partire dal prossimo 1 Settembre, i nuovi certificati SSL /TLS emessi per un periodo di validità superiore ai 13 mesi (397 giorni), saranno vietati e considerati come non sicuri. Per questo motivo dal 31 agosto 2020, GlobalSign non rilascerà più certificati per server pubblici con durata biennale. 

Riepilogando dal 31 agosto 2020:

• GlobalSign non emetterà certificati SSL /TLS con validità biennale;
• La durata massima per tutti i nuovi certificati SSL / TLS emessi con root pubblica (o riemessi) sarà di 13 mesi (397 giorni), inclusi i certificati QWAC;
• I certificati intranet SSL saranno ancora disponibili con validità pluriennale. 

In merito ai certificati già emessi, se sei in posseso un certificato biennale che è stato rilasciato in precedenza (prima del 1 settembre 2020), lo stesso  rimarrà valido e sarà considerato sicuro fino alla data di scadenza. Una volta che questo sarà scaduto, però non sarai in grado di rinnovare per altri due anni. 

Da un punto di vista più ampio, questo potrebbe essere un buon momento per iniziare a prendere in considerazione l’automazione della gestione del ciclo di vita dei certificati SSL /TLS. Soprattutto per organizzazioni più grandi che gestiscono dozzine di certificati di siti web, ma anche per organizzazioni più piccole che utilizzano certificati di posta elettronica, soluzioni come Managed PKI, Managed SSL e il Certificate Inventory Tool (CIT)  possono essere estremamente utili per ridurre il tempo, lo sforzo e il costo associati alla gestione di un numero considerevole di certificati SSL /TLS. 

Se si emette nuovamente un certificato di 2 anni dopo il 1 settembre, dovremo necessariamente limitare la validità a 397 giorni. È comunque possibile riemettere il certificato gratuitamente più volte per recuperare il tempo di validità originale (come nell’esempio di seguito). Il funzionamento è lo stesso del 2018 quando si è passati da una validità massima di tre a due anni. 

Facciamo un esempio per chiarire meglio il funzionamento:

Un certificato SSL /TLS biennale viene ordinato ed emesso il 1° agosto 2020. Il certificato sarà valido fino al 1 ° agosto 2022.

Qualora si chiedesse la riemissione del certificato il 15 settembre 2020 (dopo che la modifica della validità massima è operativa), il certificato avrebbe una durata pari di 397 giorni e quindi la nuova data di scadenza sarebbe il 17 ottobre 2021. 

Quando il certificato viene riemesso entro 397 giorni dalla scadenza originale, è possibile ripetere la procedura più volte per recuperare la validità residua. Si può riemettere, infatti, il certificato digitale tutte le volte necessarie per recuperare la data di validità originale (in questo caso il 1 agosto 2022).

Infine, un elemento da tenere in considerazione è che il processo di riemissione dei certificati EV è leggermente diverso a causa dei requisiti richiesti  dalle Linee guida EV per la riemissione dei certificati (EVGL). Sebbene sia ancora possibile emettere nuovamente i certificati, questi necessitano di verifiche e validazioni puntuali prima del rilascio. 

Come sempre, continueremo ad aggiornarvi man mano che le cose si evolvono.  Top SSL mette a disposizione delle imprese i suoi servizi e prodotti SSL innovativi per ridurre i rischi e controllare i costi relativi alla gestione dei certificati digitali. Non esitare a contattarci!