La sicurezza delle comunicazioni online si basa in gran parte sui certificati SSL/TLS, strumenti fondamentali per garantire connessioni cifrate e affidabili tra browser e server. Con le nuove policy che ridurranno progressivamente la durata dei certificati, diventa sempre più importante comprendere il loro funzionamento e adottare processi di gestione automatizzati e sicuri.

Un certificato SSL/TLS è un certificato digitale utilizzato per autenticare l’identità di un sito web e per abilitare una comunicazione sicura tra client (ad esempio un browser) e server.

Si basa sui protocolli crittografici Secure Sockets Layer e Transport Layer Security, che garantiscono la protezione dei dati trasmessi su Internet.

Un certificato SSL/TLS svolge tre funzioni fondamentali:

• Autenticazione: consente di verificare l’identità del server, riducendo il rischio di attacchi di impersonificazione.

• Cifratura: protegge i dati trasmessi tramite tecniche di crittografia.

• Integrità dei dati: garantisce che le informazioni non vengano alterate durante la trasmissione.

Come funziona?

Il funzionamento si basa su un processo di negoziazione iniziale (denominato handshake):

1. Il client richiede una connessione sicura al server.

2. Il server invia il proprio certificato digitale.

3. Il client verifica la validità del certificato tramite un’autorità di certificazione.

4. Viene stabilita una chiave di sessione condivisa.

5. La comunicazione prosegue in forma cifrata.

Questo processo sfrutta tecniche di crittografia sia asimmetrica che simmetrica.

Catena di Trust

I certificati SSL/TLS vengono emessi da organizzazioni chiamate Certificate Authority (CA), il cui compito è verificare l’identità del richiedente e garantire l’affidabilità del certificato.

Il sistema si basa su una catena di fiducia strutturata su più livelli:

• Root CA: autorità principali, fidate dai sistemi operativi e dai browser.

• Intermediate CA: autorità intermedie che emettono certificati per conto delle Root CA.

• Certificato del server: il certificato effettivamente installato sul sito web.

Le Root CA sono incluse in appositi archivi di fiducia gestiti da browser e/o sistemi operativi. Quando un client riceve un certificato, verifica che esista una catena valida che lo associ ad una Root CA valida.

Validità e scadenza del certificato

Un certificato SSL/TLS ha una validità temporale limitata, definita al momento della sua emissione.

Tipicamente, la durata è compresa tra pochi mesi e un massimo di circa un anno, in linea con le best practice di sicurezza.

Ogni certificato contiene:

• una data di inizio validità

• una data di scadenza

Alla scadenza, il certificato non è più considerato affidabile dai browser, che segnalano la connessione come non sicura.

La nuova Policy sulla Durata certificati SSL

Dal 15 marzo 2026, i certificati SSL hanno una validità tecnica massima di 200 giorni dalla data di emissione.

Questa validità cambierà seguendo il seguente programma:

• A partire dal 15 marzo 2027, la durata massima per un certificato TLS sarà di 100 giorni.

• A partire dal 15 marzo 2029, la durata massima per un certificato TLS sarà di 47 giorni.

Perché viene ridotta la validità?

Diminuire la validità dei certificati, comporta meno tempo di esposizione ai rischi.

Un certificato digitale rappresenta una “fiducia temporanea” tra browser e server.

Se una chiave privata viene compromessa oppure un certificato viene emesso in modo errato, la finestra temporale utile per un eventuale attacco si riduce drasticamente.

Inoltre, cicli di rinnovo più frequenti permettono di aggiornare più rapidamente algoritmi crittografici e standard di sicurezza.

I benefici di questo nuovo standard sono:

1. diminuire il tempo di esposizione in caso di compromissione

2. aumentare la frequenza dei controlli sull’identità del titolare

3. favorire l’adozione di pratiche automatizzate e sicure

Tuttavia, questo apre vari scenari con dei rischi, poiché quando un certificato scade:

1. i browser bloccano il sito o quantomeno causano qualche disservizio;

2. le API HTTPS smettono di comunicare;

3. le integrazioni host-to-host falliscono;

4. applicazioni e servizi possono occasionalmente andare offline.

È per questo che è fondamentale, se non obbligatorio, adottare un'automazione per il rinnovo dei certificati quali ACME o CertiManager.

Conclusione

La riduzione della validità dei certificati SSL/TLS non sarà più una semplice modifica tecnica, bensì sarà un cambio di paradigma per l’intero ecosistema Internet.

Per anni la sicurezza si è basata su certificati relativamente statici e processi manuali. Il nuovo modello punta invece su:

• automazione;

• rinnovi continui;

• verifica costante;

• riduzione della fiducia a lungo termine.

Le organizzazioni che inizieranno subito a modernizzare la gestione dei certificati potranno affrontare questa modifica senza problemi. Chi continuerà ad usare procedure manuali rischierà invece disservizi, errori operativi e/o vulnerabilità sempre più difficili da gestire.

Nel giro di pochi anni, l’automazione del certificate lifecycle non sarà più un vantaggio competitivo: diventerà semplicemente un requisito fondamentale per restare online in sicurezza.

Fonti e link di approfondimento:

1. https://www.sectigo.com/blog/200-day-ssl-certificate-expiration-risk

2. https://www.digicert.com/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days