Per quanto tempo possono essere validi i certificati digitali?

Di seguito illustreremo cosa sono i certificati digitali, i loro vantaggi, la durata della loro validità, come sapere quando sono scaduti, come si può rimediare a un certificato scaduto e l'imminente adeguamento del periodo di validità a 47 giorni.

Che cos'è un certificato digitale?

Un certificato digitale è un file che dimostra l'autenticità di un sistema elettronico, come un dispositivo, un server o un utente, attraverso l'uso della crittografia a chiave pubblica e dell'infrastruttura a chiave pubblica (PKI).

Istituendo questo metodo di identificazione per dispositivi e utenti, le organizzazioni possono garantire la sicurezza delle loro reti. Un tipo di certificato digitale molto diffuso è il certificato SSL/TLS, utilizzato per confermare l'autenticità di un sito web a un browser.

I certificati digitali contengono informazioni identificabili, come il nome del dominio, l'organizzazione, la località e le informazioni sul dispositivo, come l'indirizzo IP o il numero di serie. Contengono una copia di una chiave pubblica corrispondente a una firma digitale del titolare del certificato. Questa deve essere abbinata a una corrispondente chiave privata per verificare che sia reale e che le informazioni contenute nel certificato siano accurate.

Un certificato a chiave pubblica, emesso dalle autorità di certificazione (CA) sulla base di questa coppia di chiavi, viene utilizzato per firmare i certificati e verificare l'identità del dispositivo o dell'utente richiedente. Senza la chiave di crittografia corretta, questo accoppiamento è impossibile.

I certificati digitali più comuni che si conoscono sono:

• Certificati TLS/SSL
  
• Certificati di firma del codice
  
• Certificati S/MIME
  

Se non diversamente indicato, in questo articolo si parlerà di certificati SSL/TLS.

I vantaggi dei certificati digitali e il loro utilizzo

I certificati digitali sono vantaggiosi per diversi tipi di entità che desiderano aumentare la sicurezza informatica e soddisfare le normative necessarie. Gli utenti principali di questi certificati possono essere suddivisi nelle categorie di individui, organizzazioni e siti web.

Per emettere questi certificati, le CA richiedono che vengano fornite loro determinate informazioni attraverso una richiesta di firma del certificato. Una volta convalidate, le informazioni vengono firmate con una chiave e il certificato viene rilasciato al richiedente.

Questo certificato può quindi essere utilizzato per verificare l'identità del proprietario, assicurando che questi possieda effettivamente la chiave pubblica durante l'autenticazione del cliente, o per fornire le credenziali di un sito web. Questo è importante per molti tipi di transazioni digitali. Un consumatore è più propenso a fornire i dati della propria carta di credito a un sito web che può dimostrare la propria identità al suo browser/endpoint. Il consumatore capisce implicitamente che le sue informazioni sensibili sono protette e che il sito web sta criptando i dati privati.

I certificati con firma digitale sono utili anche per proteggere i dispositivi dell'Internet degli oggetti (IoT). Questi dispositivi si connettono a molti server web e siti web diversi per completare le azioni automatiche per le quali i consumatori si affidano a loro. I certificati dimostrano l'identità di questi dispositivi in modo che possano completare le loro attività senza l'intervento umano.

I certificati digitali scadono?

I periodi di validità dei certificati digitali sono specifici per ogni tipo di certificato. Attualmente, i certificati di firma dei codici hanno una validità massima di tre anni, mentre i certificati SSL hanno una validità di poco superiore a un anno.

Cosa determina il periodo di validità

In ultima analisi, sono le organizzazioni che accettano i certificati a determinare il periodo di validità. Di solito si allineano alle raccomandazioni del CA/Browser Forum.

Il CA/Browser Forum si riunisce per votare su una serie di questioni, spesso incentrate su una serie di requisiti di base per l'emissione di certificati digitali affidabili. Il CA/Browser Forum non è un organo di governo e non ha capacità di applicazione. Gli accettatori hanno l'ultima parola e possono essere più o meno severi rispetto alle raccomandazioni dell'organizzazione.

Un aspetto interessante dei certificati digitali è che il ciclo di vita dei certificati, compresi i periodi di validità massima, non sono determinati dall'emittente ma dall'accettatore, le cui preoccupazioni e politiche sono riflesse dal CA/Browser Forum attraverso un processo di votazione. Gli accettatori sono organizzazioni che costruiscono oggetti, come sistemi operativi e browser. Si concentrano sulla protezione delle informazioni degli utenti finali e non sui processi organizzativi. Pertanto, aziende come Microsoft e Google preferiscono rifiutare completamente i certificati che non soddisfano i loro criteri e negare temporaneamente l'accesso piuttosto che accettare semplicemente tutti i certificati.

Attuale periodo di validità dei certificati SSL/TLS

A partire da settembre 2020, i certificati Transport Layer Security (SSL/TLS) non potranno essere emessi per un periodo superiore a 13 mesi (397 giorni). Questo cambiamento è stato annunciato per la prima volta da Apple al CA/Browser Forum.

Prima del 2015, era possibile ottenere un certificato con un periodo di validità fino a cinque anni. Nel 2015 è stato ridotto a tre e nel 2018 a due. Alla fine del 2019, al CA/Browser Forum è stata proposta una votazione che avrebbe ridotto la validità a un anno e che è stata respinta. Questa decisione è stata poi annullata da un cambiamento di politica da parte di Apple l'anno successivo.

I certificati Extended Validation (EV) hanno tradizionalmente date di scadenza e processi di gestione dei certificati diversi dai certificati Domain Validation (DV) o Organization Validation (OV), anche se nel caso dei certificati SSL i periodi di validità sono gli stessi.

Come faccio a sapere quando scade il mio certificato SSL/TLS?

I certificati SSL scadono al massimo 398 giorni dalla data di emissione, ma la maggior parte delle CA fissa la data di scadenza prima, spesso intorno ai 395 giorni. È importante rinnovare i certificati prima della loro scadenza. L'attesa causerà gravi disagi alle organizzazioni e ai loro clienti. Le date di scadenza dei certificati sono chiaramente comunicate dai rispettivi emittenti e ognuno ha un proprio processo di rinnovo dei certificati.

Le CA di solito forniscono una notifica prima della data di scadenza, quindi è buona norma rinnovare il certificato quando si riceve la prima notifica per evitare interruzioni del certificato.

Spesso chi richiede il rinnovo del certificato deve autenticare nuovamente parti delle informazioni contenute nel vecchio certificato che desidera vedere nel nuovo. La procedura è simile a quella del rilascio originale.

La proposta di Google per un periodo di validità di 90 giorni

All'inizio di marzo 2023, durante gli incontri faccia a faccia del CA/B Forum, Google ha annunciato l'intenzione di ridurre il periodo massimo di validità dei certificati SSL da 398 giorni a 90 giorni. Questo cambiamento è destinato a rivoluzionare la gestione dei certificati digitali ed è fondamentale che le aziende inizino a prepararsi fin da ora, poiché le politiche e le pratiche attuali relative alla gestione dei certificati dovranno essere rivalutate e aggiornate per allinearsi a questo nuovo standard.

Perché questo cambiamento?

La motivazione principale della proposta di Google è il miglioramento della sicurezza. Una durata di vita dei certificati più breve significa che i certificati dovranno essere rinnovati più frequentemente, garantendo che gli standard di crittografia rimangano aggiornati e che le vulnerabilità vengano affrontate tempestivamente. Questo cambiamento riduce la finestra di opportunità per gli aggressori di sfruttare i certificati compromessi, migliorando significativamente la sicurezza informatica complessiva. Rinnovi frequenti significano anche che eventuali punti deboli negli algoritmi di crittografia o nelle pratiche di gestione delle chiavi possono essere rapidamente corretti, mantenendo il massimo livello di protezione per i dati sensibili.

Il rinnovo automatico dei certificati diventerà più importante che mai

Con la proposta di periodi di validità più brevi, l'importanza di automatizzare il rinnovo dei certificati diventa fondamentale. I processi di rinnovo manuali possono portare a errori e cadute, che possono causare interruzioni significative e rischi per la sicurezza delle aziende. Con un processo di rinnovo molto più frequente, questi rischi aumenteranno. I sistemi automatizzati aiutano a garantire che i rinnovi siano completati in modo accurato e puntuale, riducendo le possibilità che i certificati scaduti causino interruzioni del servizio.

L'automazione libera anche le risorse IT, consentendo ai team di concentrarsi su attività più critiche piuttosto che sul processo ripetitivo e lungo dei rinnovi manuali dei certificati SSL. Inoltre, gli strumenti automatizzati di gestione del ciclo di vita dei certificati (CLM) possono fornire monitoraggio e avvisi in tempo reale, assicurando che le organizzazioni siano sempre al corrente delle scadenze imminenti e possano agire tempestivamente.

L'integrazione dell'automazione nei processi di rinnovo dei certificati non solo migliora l'efficienza, ma aumenta anche la sicurezza. I sistemi automatizzati sono meno inclini all'errore umano e applicano costantemente le pratiche e le politiche di sicurezza più recenti. Ciò è particolarmente importante con periodi di validità più brevi, dove la frequenza dei rinnovi aumenta e il margine di errore si riduce.

Vantaggi dei periodi di validità più brevi

Periodi di validità brevi consentono alle modifiche degli algoritmi di avere un impatto maggiore. Ad esempio, alcuni anni fa, SHA-1 è stato deprecato a favore di SHA-2. All'epoca i certificati avevano periodi di validità di diversi anni, spesso tre o più. Poiché gli algoritmi di hashing vengono scelti al momento della generazione del certificato e non del suo utilizzo, alcuni certificati hanno impiegato anni prima di utilizzare il nuovo algoritmo più sicuro. La crittografia dei dati utilizzando algoritmi non aggiornati può lasciare scoperte le informazioni chiave.

I periodi di validità brevi offrono un'ottima soluzione a questo problema, perché le modifiche agli algoritmi possono essere implementate automaticamente al momento del rinnovo, rendendo trascurabile il tempo di attesa per l'adozione.

Come posso risolvere un certificato scaduto?

Le autorità di certificazione dispongono di meccanismi per revocare i certificati scaduti. Ciò avviene attraverso la cosiddetta lista di revoca dei certificati (CRL), che consente a una CA di tenere traccia dei certificati scaduti o revocati per qualsiasi motivo.

Per rinnovare automaticamente i certificati SSL, potrebbe essere necessario riconvalidare le informazioni e questo può essere fatto attraverso piattaforme di gestione del ciclo di vita dei certificati come Certificate Manager o SCM Pro di Sectigo. Per saperne di più su come funzionano le nostre piattaforme o sull'acquisto di nuovi certificati SSL, contattate il nostro team di Sectigo oggi stesso.

Prepararsi a periodi di validità più brevi e sfruttare l'automazione con Sectigo

Preparatevi subito all'acquisto di certificati SSL da 47 giorni per evitare problemi nel prossimo futuro. Assicurate transizioni senza problemi a periodi di validità più brevi, mitigate i rischi di interruzione del servizio e mantenete una solida sicurezza per la vostra organizzazione. Contattate Sectigo oggi stesso per scoprire come possiamo aiutare la vostra azienda a semplificare i processi di rinnovo dei certificati e a mantenere la conformità senza problemi.

Scopri di più? Contattateci per prenotare una demo di Sectigo Certificate Manager!

Messagi relativi:

Apple rilascia una bozza di voto per ridurre la durata di vita dei certificati a 47 giorni

Prepararsi al futuro: La proposta di Apple di una durata di vita dei certificati di 47 giorni

Perché i certificati SSL scadono: esploriamo i vantaggi di periodi di validità più brevi