Il panorama della sicurezza digitale sta vivendo una profonda trasformazione, principalmente dovuta alla riduzione dei periodi di validità introdotta dai principali fornitori di browser web per i certificati SSL/TLS. Questo movimento, iniziato diversi anni fa, ha acquisito notevole slancio in seguito alle recenti proposte di leader del settore come Apple e Google.
Nell’ottobre 2024, Apple ha presentato una proposta al CA/Browser Forum volta a ridurre significativamente la durata e la validità dei certificati TLS, come delineato nella votazione intitolata “SC-081: Introduzione di un programma di riduzione dei periodi di validità e riutilizzo dei dati”.
Implementando tali misure, Apple mira a mitigare i rischi associati alla maggiore durata dei certificati, garantendo che i certificati vengano rinnovati più frequentemente e migliorando così la sicurezza complessiva delle comunicazioni web.
Le organizzazioni che fanno affidamento su connessioni web sicure e transazioni elettroniche devono monitorare attentamente questi sviluppi per garantire la continuità aziendale, mantenere operazioni efficienti e mantenere una solida posizione di sicurezza.
Il percorso verso una durata di vita più breve dei certificati è in corso da oltre un decennio, segnato da una chiara traiettoria di decremento della validità. Uno sguardo retrospettivo a questa progressione storica rivela uno schema coerente:
Questa graduale riduzione sottolinea la crescente consapevolezza della comunità della sicurezza informatica che i certificati a lunga durata comportano rischi significativi per la sicurezza. Ogni successiva riduzione ha sottolineato l’importanza di bilanciare il miglioramento della sicurezza con la fattibilità operativa. L’attuale periodo di 398 giorni rappresenta un compromesso fondamentale che consente alle organizzazioni di stabilire cicli di rinnovo annuali gestibili, migliorando al contempo la sicurezza rispetto ai periodi di validità precedentemente più lunghi.
La relativa stabilità del periodo di 398 giorni sta ora affrontando sfide significative da parte di due importanti fornitori di browser. A marzo 2023, i progetti Chromium di Google hanno fatto notizia annunciando l’intenzione di ridurre il periodo di validità massimo per i certificati TLS pubblici a soli 90 giorni. Questa iniziativa, parte della roadmap “Moving Forward, together” di Google, indica un cambiamento radicale nell’approccio del settore alla gestione dei certificati.
Al contrario, Apple ha adottato una posizione ancora più decisa. Durante una riunione del CA/Browser Forum nell’ottobre 2023, Apple ha presentato una bozza di proposta che proponeva una graduale riduzione dei periodi massimi di validità dei certificati. Inizialmente mirata a raggiungere i 45 giorni entro il 2027, la proposta di Apple è stata successivamente aggiornata per riflettere un periodo di validità e una durata leggermente più lunghi. Questa evoluzione segna un momento cruciale nel modo in cui le organizzazioni affronteranno la gestione dei certificati digitali in futuro.
La cronologia aggiornata di Apple ora propone:
Inoltre, la proposta di Apple prevede una riduzione graduale del periodo di riutilizzo della convalida del controllo del dominio (DCV), che alla fine richiederà una nuova convalida ogni 10 giorni entro la fine del 2027 o del 2028. Questo aspetto della proposta è particolarmente significativo in quanto influisce sulla frequenza con cui deve essere verificata la proprietà del dominio.
Aumentando la frequenza delle riconvalide, Apple mira a rafforzare le pratiche di sicurezza relative alla gestione dei domini, garantendo che la legittimità della proprietà del dominio venga costantemente mantenuta in un panorama di minacce in continua evoluzione.
La spinta verso periodi di validità dei certificati più brevi è motivata da diverse considerazioni operative e di sicurezza impellenti:
Maggiore sicurezza grazie alla riduzione dell’esposizione
La durata di vita più breve dei certificati riduce significativamente la finestra di opportunità per gli aggressori di sfruttare i certificati compromessi. Quando i certificati hanno periodi di convalida più brevi, il potenziale danno derivante da una chiave privata compromessa è intrinsecamente limitato dalla data di scadenza del certificato. Questo vincolo rappresenta un efficace controllo di sicurezza in un’epoca di attacchi sempre più sofisticati.
Incoraggiare l’automazione e le migliori pratiche
Forse l’aspetto più rivoluzionario della riduzione della durata dei certificati è la sua capacità di favorire un significativo abbandono della gestione manuale dei certificati. Sia Google che Apple hanno esplicitamente affermato che uno degli obiettivi principali delle loro proposte è incoraggiare le organizzazioni ad adottare pratiche di gestione automatizzata dei certificati.
Con la scadenza dei certificati sempre più frequente, affidarsi a processi manuali diventa sempre più insostenibile. Questa realtà obbliga le organizzazioni a implementare soluzioni di automazione per prevenire costose interruzioni del servizio e garantire la conformità continua agli standard in continua evoluzione in materia di sicurezza digitale.
Sfruttare l’automazione non solo semplifica il processo di gestione, ma rafforza anche la difesa di un’organizzazione in un contesto di minacce informatiche incessanti.
Agilità crittografica
Il panorama della sicurezza informatica è in continua evoluzione, caratterizzato dall’emergere di nuove minacce che spesso rendono obsoleti i vecchi standard crittografici. La riduzione della durata dei certificati facilita un’adozione più rapida di nuovi standard e protocolli crittografici, un aspetto particolarmente critico con l’avvicinarsi dell’avvento del calcolo quantistico.
Quando i certificati richiedono rinnovi più frequenti, l’intero ecosistema può adattarsi rapidamente alle minacce emergenti e agli standard più elevati, consentendo alle organizzazioni di rimanere un passo avanti nelle loro misure di sicurezza. Questa agilità è essenziale non solo per mantenere difese solide, ma anche per garantire la resilienza di fronte a un ambiente di minacce in continua evoluzione. Quando i certificati devono essere rinnovati più frequentemente, l’intero ecosistema può adattarsi alle minacce emergenti e agli standard più elevati a un ritmo molto più rapido.
Minore affidamento sulla revoca
Gli attuali meccanismi di revoca dei certificati, come le Certificate Revocation List (CRL) e l’Online Certificate Status Protocol (OCSP), presentano limitazioni note sia in termini di prestazioni che di privacy. Adottando certificati con durate di vita più brevi, le organizzazioni possono ridurre significativamente la dipendenza da questi meccanismi di revoca, poiché i certificati compromessi scadono intrinsecamente prima.
Questa strategia affronta efficacemente una sfida fondamentale nell’ecosistema dell’infrastruttura a chiave pubblica (PKI), evitando al contempo la necessità di modifiche drastiche alle infrastrutture di revoca esistenti. In questo modo, la riduzione della durata dei certificati contribuisce a un processo di gestione più efficiente e sicuro, semplificando le operazioni e migliorando al contempo la sicurezza complessiva.
Allineamento con il controllo del dominio
Un altro vantaggio della riduzione della durata dei certificati è il migliore allineamento tra validità del certificato e titolarità del dominio. Poiché i domini cambiano frequentemente proprietario e le organizzazioni subiscono ristrutturazioni o rebranding, una durata più breve contribuisce a garantire che i certificati riflettano accuratamente lo stato attuale della titolarità del dominio.
Questa pratica riduce significativamente il rischio che i certificati rimangano validi a lungo dopo che si sono verificati cambiamenti organizzativi. Mantenendo i certificati sincronizzati con i dettagli di proprietà più recenti, le organizzazioni possono migliorare il proprio livello di sicurezza e ridurre al minimo il potenziale di uso improprio associato a certificati obsoleti.
Sebbene i vantaggi in termini di sicurezza derivanti da una durata di vita più breve dei certificati siano evidenti, le implicazioni operative sono sostanziali e potenzialmente destabilizzanti:
Aumento della frequenza di rinnovo
La sfida più evidente è il significativo aumento delle attività di rinnovo dei certificati. Il passaggio da certificati con scadenza a 398 giorni a certificati con scadenza a 47 giorni si traduce in un aumento della frequenza di rinnovo di oltre otto volte. Per le organizzazioni che gestiscono migliaia di certificati, questo rappresenta un notevole aumento del carico di lavoro se non adeguatamente automatizzato.
Rischio di interruzioni e disagi
Le interruzioni relative ai certificati sono già un problema diffuso per molte organizzazioni. La scadenza imprevista di un certificato TLS può rendere i siti web inaccessibili, causare errori delle applicazioni e interrompere le operazioni aziendali. Con una durata di vita dei certificati più breve, la probabilità di tali interruzioni aumenta proporzionalmente se i processi di gestione dei certificati non vengono aggiornati.
Vincoli di risorse per le organizzazioni più piccole
Mentre le grandi aziende dispongono spesso di team dedicati e strumenti avanzati per la gestione dei certificati, le organizzazioni più piccole in genere non dispongono di queste risorse e potrebbero avere difficoltà a soddisfare le elevate esigenze operative associate alla gestione di certificati con una durata di vita significativamente più breve. Questa disparità potrebbe creare nuove vulnerabilità di sicurezza nell’ecosistema digitale.
Complessità di transizione
Adattare i processi organizzativi, aggiornare gli strumenti e formare il personale per adattarsi a cicli di vita dei certificati più brevi rappresenta una sfida sostanziale in termini di transizione. Le organizzazioni abituate a cicli di rinnovo annuali dovranno rivedere radicalmente le proprie pratiche di gestione.
Data l’inevitabilità di una riduzione della durata dei certificati, le organizzazioni dovrebbero iniziare a prepararsi fin da ora, anziché aspettare che questi cambiamenti diventino obbligatori. Ecco alcune strategie essenziali per adattarsi a questa nuova realtà:
Accettare l’automazione come una necessità
Il passaggio più critico è l’implementazione di un’automazione completa del ciclo di vita dei certificati. La gestione manuale dei certificati non sarà sostenibile con una durata di 47 o addirittura 90 giorni. Gli strumenti di automazione possono gestire l’intero ciclo di vita dei certificati, dalla generazione delle chiavi e dall’invio della richiesta di firma del certificato (CSR), all’installazione e al rinnovo. Questo approccio non solo riduce il rischio di interruzioni, ma libera anche i team IT da attività ripetitive e soggette a errori.
Stabilisci la visibilità completa del certificato
Non puoi gestire ciò che non puoi vedere. Molte organizzazioni non hanno visibilità sul proprio inventario dei certificati: uno studio indica che il 62% degli intervistati non sa quanti certificati possiede. L’implementazione di strumenti e processi per individuare, monitorare e tracciare tutti i certificati all’interno dell’organizzazione è una base essenziale per una gestione efficace dei certificati.
Sviluppare sistemi di allerta robusti
Anche con l’automazione, i sistemi di monitoraggio e di allerta rimangono cruciali. Questi sistemi dovrebbero fornire avvisi tempestivi per i certificati in scadenza, consentendo ai team di affrontare eventuali problemi prima che causino interruzioni. Idealmente, gli avvisi dovrebbero essere multicanale e intensificati in modo appropriato in base alla criticità del certificato e alla prossimità alla scadenza.
Formare le parti interessate in tutta l’organizzazione
La gestione dei certificati non è solo una funzione di sicurezza IT: riguarda i team di sviluppo, le operazioni e persino le unità aziendali che si affidano ad applicazioni protette da certificati. Educare gli stakeholder dell’intera organizzazione sull’importanza della gestione dei certificati e sulle implicazioni di una durata di vita più breve contribuisce a creare una cultura di responsabilità condivisa.
Considerare PKI privato per i certificati interni
Mentre i certificati pubblicamente attendibili sono soggetti ai periodi di validità imposti dai fornitori di browser, i certificati interni gestiti tramite una PKI privata possono seguire regole diverse. Le organizzazioni dovrebbero valutare se alcuni casi d’uso sarebbero meglio gestiti da un’infrastruttura PKI interna, che offre maggiore flessibilità nella gestione dei cicli di vita dei certificati.
La tendenza verso una durata di vita dei certificati più breve non mostra segni di inversione. Infatti, per alcuni ambienti come le applicazioni containerizzate e le pipeline DevOps, la durata di vita dei certificati è già misurata in ore o minuti anziché in giorni. Ciò suggerisce che il futuro della gestione dei certificati risiede in sistemi completamente automatizzati, basati su API, in grado di gestire le operazioni del ciclo di vita dei certificati alla velocità di una macchina.
Le organizzazioni che si adattano con successo a questi cambiamenti otterranno non solo una maggiore sicurezza, ma anche un’infrastruttura più agile e resiliente. Il passaggio all’automazione, sebbene inizialmente guidato dalla necessità, alla fine offre vantaggi operativi che vanno oltre la semplice conformità ai nuovi standard.
La riduzione della durata dei certificati TLS rappresenta sia un miglioramento della sicurezza che una sfida operativa. Comprendendo le motivazioni alla base di questi cambiamenti e implementando proattivamente le strategie discusse in precedenza, le organizzazioni possono affrontare questa transizione con successo, rafforzando al contempo la propria strategia di sicurezza complessiva.
Sebbene la tempistica esatta di questi cambiamenti possa ancora evolversi attraverso discussioni di settore e processi di approvazione formali, la direzione è chiara. I periodi di validità dei certificati si stanno riducendo e le organizzazioni che iniziano a prepararsi ora saranno ben posizionate per gestire questi cambiamenti senza interruzioni delle loro attività critiche.
Il punto chiave è che l’automazione non è più un optional: è una componente essenziale della moderna gestione dei certificati. Accogliendo questa realtà e investendo in strumenti e processi adeguati, le organizzazioni possono trasformare quella che altrimenti potrebbe essere una sfida gravosa per la conformità in un’opportunità per migliorare le proprie operazioni di sicurezza.
Fonti:
https://github.com/cabforum/servercert/pull/553
https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/
https://www.globalsign.com/en/blog/90-days-to-47-certificate-lifespans-and-automation
https://scotthelme.co.uk/are-shorter-certificates-finally-coming/
