A partire dal 1° settembre 2020 Safari non accetterà certificati HTTPS più vecchi di 13 mesi: solo quelli più recenti saranno accettati dal browser di Apple. La nuova policy è stata annunciata questa settimana da Apple al Certification Authority Browser Forum (CA/Browser), consorzio che raggruppa i creatori di browser Web e le autorità che rilasciano certificati HTTPS.
I certificati HTPPS sono una sorta di “carta di identità” dei siti, un documento elettronico rilasciato da un’autorità di certificazione affidabile, utilizzato per garantire la sicurezza delle trasmissioni cifrate tramite il protocollo TLS, alla base di HTTPS.
L’ente ufficiale che li rilascia è il “Certificate Authority”: i certificati si trovano sul server, e, ogni volta che l’utente entra in un sito in Https vengono richiamati. Esistono differenti tipologie di certificati e consentono di controllare il dominio corrispettivo, l’appartenenza esatta del dominio, la sua attendibilità e altri controlli avanzati fondamentali, ad esempio, nei siti che effettuano transazioni e attività di e-commerce. Un certificato valido garantisce la sicurezza della connessione tra il browser Web e il sito Web che si sta visitando, garantisce inoltre che sia stato caricato il sito corretto e non una copia contraffatta creata da terze parti, ad esempio, a scopi di phishing.
Implementando questa policy in Safari, Apple rafforza Mac e dispositivi iOS, obbligando amministratori di siti web a sviluppatori a fare in modo che i certificati delle loro pagine siano sempre attuali. In caso contrario il rischio è quello di perdere milioni di visitatori (un certificato scaduto è un fattore molto delicato per lo sviluppo e la reputazione di un sito web). I certificati possono avere validità annuale o pluriennale, ed è necessario rinnovarli prima della scadenza.
I certificati di Let’s Encrypt (una autorità di certificazione che si propone di rilasciare certificati gratuitamente), diventata la prima azienda di riferimento nel settore dalla sua creazione nel 2015, scadono dopo soli tre mesi e devono essere rinnovati massimo ogni 90 giorni. Safari non avrà problemi con questo tipo di certificato ma, come rileva The Register, gli amministratori di siti web dovranno tenere conto delle procedure di rinnovo automatico e quindi moltiplicare i controlli per l’ottenimento dei certificati stessi.
La policy riguarderà solo Safari con certificati HTTPS nuovi creati dal 1° settembre 2020; quelli creati prima di questa data saranno comunque accettati da Safari. L‘obiettivo è aumentare i controlli ma anche migliorare i meccanismi di configurazione che consentono di ottenere automaticamente i certificati per accelerare le transizioni tecnologiche. Il rinnovo annuale consente tipicamente di incrementare la sicurezza intrinseca dei meccanismi di rinnovo e revoca.
Apple non è l’unica a spingere verso questa modalità di rinnovo. Nel 2019 Google aveva presentato al Certification Authority Browser Forum (CA/Browser) l’idea della scadenza dei certificati dopo un anno ma questa era stata respinta dal consorzio.
Tutti gli articoli di macitynet che parlano di Safari, Apple e Internet sono disponibili ai rispettivi collegamenti.
