Riduzione della durata massima dei certificati SSL/TLS
Dal 1 settembre 2020 la durata massima dei certificati SSL/TSL è stata ridotta a 398 giorni (poco più di 13 mesi) anziché 825 giorni (27 mesi).
In realtà questa non è che l’ultima di una serie si riduzioni alla durata dei certificati SSL / TSL avvenute negli ultimi 10 anni:
- nel 2011, il Certification Authority Browser Forum (CA / Browser Forum) aveva imposto il limite di cinque anni, abbattendo il precedente periodo di validità del certificato da 8-10 anni;
- nel 2015 il Certification Authority Browser Forum (CA / Browser Forum) aveva imposto il limite di tre anni;
- nel 2018 le il Certification Authority Browser Forum (CA / Browser Forum) aveva ulteriormente ridotto il periodo validità a 825 giorni.
Sebbene la proposta di ridurre la durata dei certificati a 398 giorni sia stata in realtà respinta in una votazione, a riguardo si veda Ballot SC22 – Reduce Certificate Lifetimes (v2), la proposta è stata ampiamente supportata dai produttori di browser come Apple, Google, Microsoft, Mozilla e Opera.
La Apple è stata la prima azienda ad annunciare nel marzo 2020 l’intento di rifiutare i nuovi certificati TLS emessi a dopo il 1 settembre con validità superiore a 398 giorni e consiglia di emettere certificati a validità massima di 397 giorni, a riguardo si veda About upcoming limits on trusted certificates. L’esempio della Apple è poi stato seguito da Google (nforce 398-day validity for certificates issued on-or-after 2020-09-01) e da Mozilla (Reducing TLS Certificate Lifespans to 398 Days).
I certificati emessi prima de 1 settembre 2020 non saranno interessati dalla restrizione, né quelli emessi da autorità di certificazione radice (CA) aggiunte dall’utente o aggiunte dall’amministratore.
Lo scopo della limitazione della durata dei certificati è quello di migliorare la sicurezza del sito Web in quanto viene ridotto il periodo in cui i certificati compromessi o fasulli possono essere sfruttati per generare attacchi basati su phishing e malware. Inoltre occorre tenere presente che le versioni mobile di Chrome e Firefox non verificano in modo proattivo lo stato del certificato a causa di vincoli di prestazioni, ma ciò causa il caricamento di siti Web con certificati revocati senza dare alcun avviso all’utente.
Da queste premesse si capisce che è consigliabile implementare l’automazione dei certificati utilizzando strumenti come Let’s Encrypt e CertBot, che offrono un modo semplice per configurare, emettere, rinnovare e sostituire i certificati SSL senza intervento manuale.
Abbiamo già scritto diverse guide sulla Certfication gratuita L’et’s Encrypt che sono raccolte al link https://www.ictpower.it/?s=let%27s+encrypt