Con 25 voti favorevoli da parte degli emittenti di certificati, nessun voto contrario e cinque astensioni, il CA/Browser Forum, organismo di riferimento che riunisce produttori di browser, emittenti di certificati di sicurezza e altri stakeholder del settore, ha approvato una decisione destinata a cambiare radicalmente la gestione dei certificati SSL/TLS. Entro il 15 marzo 2029, la durata massima di validità di questi certificati sarà infatti ridotta a soli 47 giorni e si tratta di una transizione progressiva che, secondo il Forum, punta a migliorare la sicurezza complessiva delle comunicazioni sul web.

Attualmente, i certificati SSL/TLS, che costituiscono la base della crittografia HTTPS e garantiscono connessioni sicure tra browser e siti web, hanno una validità massima di 398 giorni. Questo limite era già frutto di precedenti revisioni in particolare a seguito della decisione unilaterale di Apple nel 2020, che aveva stabilito che Safari avrebbe accettato solo certificati con durata inferiore a 13 mesi. La proposta di ridurre ulteriormente la durata è stata avanzata proprio da Apple lo scorso anno e ha trovato l’appoggio dei principali colossi tecnologici, tra cui Google, Microsoft e Mozilla.

Alla base di questa decisione c’è una motivazione di sicurezza, visto che cicli di rinnovo più brevi riducono il tempo in cui un certificato compromesso o rubato può essere sfruttato da malintenzionati. Se oggi un certificato può restare attivo per oltre un anno, in futuro la sua eventuale sottrazione potrà causare problemi solo per qualche settimana o, addirittura, per pochi giorni. Un cambiamento che, pur comportando un aumento della frequenza di rinnovo (e quindi potenzialmente dei costi), trova una soluzione accessibile nei certificati gratuiti offerti da Let’s Encrypt, che mettono anche a disposizione strumenti per automatizzare il processo di rinnovo.

certificati SSL/TLS

Il piano di transizione prevede tre tappe fondamentali:

  • Dal 15 marzo 2026 i nuovi certificati dovranno essere rinnovati ogni 200 giorni
  • Dal 15 marzo 2027 questo limite scenderà a 100 giorni
  • Dal 15 marzo 2029, i certificati SSL/TLS non potranno avere una validità superiore a 47 giorni, mentre la validazione del controllo del dominio (DCV) sarà limitata a soli 10 giorni

Secondo Tim Callan, Chief Compliance Officer di Sectigo e vicepresidente del CA/Browser Forum, questo cambiamento riflette “l’impegno condiviso dell’industria per rafforzare la sicurezza e la fiducia nel digitale.” Callan sottolinea inoltre come la riduzione dei tempi di validità non solo aumenti la resilienza contro le minacce attuali, ma prepari anche il terreno per un futuro in cui la sicurezza dovrà affrontare i rischi posti dall’informatica quantistica.

La reazione del mondo IT, però, non è stata priva di critiche, specialmente da parte di chi si occupa quotidianamente di gestire infrastrutture complesse. Sui forum di settore, come quello dei sysadmin su Reddit, molti hanno espresso perplessità, definendo il cambiamento comprensibile sul piano teorico ma problematico nella pratica. Se in un ambiente cloud-native con automazione avanzata il rinnovo frequente può risultare gestibile, per chi opera in contesti con sistemi legacy e hardware datato l’impatto potrebbe tradursi in un notevole aumento del carico di lavoro manuale.

Proprio per questo motivo, la progressività delle scadenze è pensata per dare alle aziende il tempo di adattarsi, spingendo in direzione di una gestione automatizzata dei certificati, ormai considerata non più un’opzione ma una necessità.