Apple vuole ridurre la vita dei certificati di sicurezza SSL/TLS, passando dall’attuale periodo di validità massimo di 398 giorni a 45 giorni entro il 2027, una scelta che alcuni amministratori di sistema vedono come un “incubo” a causa delle procedure di convalida necessarie ogni volta per ottenere la certificazione.
Lo riferisce il sito The Register spiegando che molti System Administrator, (figure che si occupano della configurazione e della gestione di alcune infrastruttura IT aziendali, inclusa la manutenzione e gestione di server web), non vedono di buon occhio la proposta di Apple.
La proposta della Casa di Cupertino, una misura che dovrà essere approvata per votazione nei prossimi mesi dal Certification Authority Browser Forum (CA/B Forum), è stata svelata nell’ambito dell’incontro autunnale del gruppo volontario di autorità di certificazione (CA), di fornitori di software per browser Internet e di fornitori di altre applicazioni che utilizzano certificati digitali X.509 per TLS/SSL e la firma del codice.
Se approvata, la proposta influenzerà il funzionamento dei certificati digitali e siti web con browser come Safari e che aiutano a mantenere sicure le comunicazioni sul web.
I certificati, lo ricordiamo, vengono emessi da organizzazioni attendibili, ad esempio VeriSign o RSA Security e consentono ai sistemi di verificare l’identità e successivamente stabilire una connessione di rete crittografata a un altro sistema utilizzando il protocollo Secure Sockets Layer/Transport Layer Security (SSL/TLS).
Quando si visita un sito web codificato, per esempio per operazioni di banca online, Safari controlla se il certificato del sito è legittimo; se non lo è, avvisa l’utente. Siti e browser lavorano assieme per codificare le informazioni che vengono scambiate tra computer e sito. La chiave utilizzata per la codifica è contenuta nel certificato di sicurezza del sito. In questo modo, informazioni quali login, numeri di carta di credito, indirizzi e altri dati riservati rimangono al sicuro (grazie a normative del settore per la riservatezza e la protezione dei dati).
Per incrementare la sicurezza, la vita massima dei certificati è stata ridotta nel corso degli anni; prima del 2011 la validità massima arriva a 8 anni; dal 2020 si è passati a 13 mesi, impedendo a terze parti non attendibili di utilizzare un certificato SSL/TLS valido di un dominio scaduto per creare un sito Web non autorizzato.
Riducendo il periodo di validità, si riducono le possibilità di un uso improprio dei certificati SSL/TLS. Alla scadenza del certificato SSL/TLS, ai visitatori di un sito web con certificato scaduto appare un avviso sul browser che indica che il sito Web non è protetto (non è possibile stabilire l’identità).
L’organizzazione revoca alla scadenza il vecchio certificato SSL/TLS e bisogna sostituirlo con uno nuovo. Per evitare incidenti di sicurezza, il processo di rinnovo deve avvenire prima della scadenza del certificato precedente.
Non è dato sapere se la proposta di Apple passerà ma anche Google sembra propensa all’adottarla e renderla effettiva.
Le operazioni di convalida dei certificati SSL/TLS potrebbero provocare “grattacapi” al personale che si occupa di sicurezza, con molti Sysadmin che si ritroveranno alle prese con certificati che scadono in momenti diversi. In alcuni casi è possibile automatizzare la gestione dei certificati ma in altri no, con conseguenti perdite di tempo per il processo di la convalida e affidabilità.
