La durata dei certificati digitali non potrà superare 13 mesi

La decisione di Apple di integrare in Safari una politica più stringente per quanto riguarda la gestione dei certificati digitali (comunemente usati, ad esempio, per attestare l’identità di un sito web che usa il protocollo HTTPS) è stata seguita anche da Google e Mozilla: Attenzione alla scadenza dei certificati digitali: Safari ne limita la validità a 13 mesi.

Apple aveva deciso di ritenere non più validi tutti i nuovi certificati creati con una scadenza superiore a 398 giorni. A partire dal 1° settembre 2020 anche Chrome e Firefox mostreranno un errore ogni volta che si proverà a collegarsi con un sito web che usa un certificato a lunga scadenza. La novità non riguarda ovviamente i siti web che usano, per esempio, certificati digitali biennali creati in passato e attualmente in uso ma soltanto coloro che genereranno nuovi certificati da settembre prossimo.

La mossa dei produttori di browser web è importante perché non solo riguarda il funzionamento di una parte fondamentale delle comunicazioni sicure ma anche perché sancisce un allontanamento dalle pratiche che erano state seguite in passato.
Un’iniziativa che ha il sapore di una rottura con le autorità di certificazione (dichiaratesi contrarie al cambio di rotta voluto da Apple prima e poi da Google e Mozilla), un abbandono della storica cooperazione con il CA/B Forum che dal 2005 stabiliva, di concerto con gli sviluppatori dei browser, come i certificati digitali devono essere emessi, gestiti e controllati.

Vero è che riducendo il ciclo di vita di un certificato digitale si complica un po’ la vita anche a chi realizza siti web malevoli e campagne phishing ma si rende tutto più complesso anche per tutti coloro che gestiscono decine di siti web assolutamente legittimi.
All’atto pratico, forse, ridurre la vita dei certificati a 398 giorni non permetterà di ridurre significativamente i comportamenti posti in essere dai criminali informatici mentre rappresenterà una complicazione per tutti gli altri. E la posizione delle autorità di certificazione è più o meno questa ovvero “non siamo per nulla soddisfatti della scelta ma ovviamente ci adegueremo”.

Per sapere tutto sull’importanza dei certificati digitali, suggeriamo la lettura del nostro articolo Passare da HTTP a HTTPS: l’importanza del certificato SSL.