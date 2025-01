Il termine Web PKI si riferisce all’infrastruttura a chiave pubblica (Public Key Infrastructure) utilizzata per garantire la sicurezza delle comunicazioni sul Web. È un sistema globale di standard, tecnologie e pratiche che consente l’uso di certificati digitali per proteggere le connessioni via HTTPS, garantendo autenticità, integrità e riservatezza dei dati trasmessi tra client (come un browser) e server. Let’s Encrypt è un’autorità di certificazione (CA), automatizzata e aperta, che fornisce certificati TLS gratuiti per abilitare connessioni sicure su Internet.

Si tratta di una realtà nata nel 2016 come iniziativa congiunta di alcuni soggetti dal nome altisonante. Tra di essi ricordiamo Internet Security Research Group (ISRG), organizzazione no-profit che gestisce Let’s Encrypt, Electronic Frontier Foundation (EFF) e Mozilla Foundation, Akamai Technologies e Cisco.

Rivoluzione nella sicurezza Web: certificati brevi e supporto per gli indirizzi IP

Grazie a Let’s Encrypt chiunque può, in pochi istanti, richiedere e ricevere un certificato digitale che permette l’abilitazione del protocollo HTTPS su qualunque sito Web. Il tutto in maniera automatizzata e a titolo completamente gratuito.

Come abbiamo visto in altri nostri articoli, Let’s Encrypt fornisce i cosiddetti Certbot, meccanismi automatizzati che sono compatibili con una vasta schiera di sistemi operativi e che permettono non soltanto di avanzare la richiesta del certificato digitale ma anche di gestire l’installazione a livello di server Web e il rinnovo del certificato stesso. Il tutto senza richiedere ulteriori interventi dell’utente o dell’amministratore.

Certificati a vita breve: che cosa sono

Uno dei principali vantaggi dei certificati a vita breve (durata pari ad appena 6 giorni) appena presentati da Let’s Encrypt, è la drastica riduzione della finestra di compromissione. Quando una chiave privata viene compromessa, la revoca del certificato è la soluzione raccomandata, ma i meccanismi di revoca (OCSP e CRL) spesso si rivelano poco affidabili. Con una durata di soli sei giorni, i certificati brevi eliminano quasi del tutto la necessità di revoca, garantendo che eventuali problematiche abbiano un impatto limitato nel tempo.

Let’s Encrypt spiega che i nuovi certificati saranno integrati nel protocollo ACME (Automatic Certificate Management Environment), un protocollo standard che automatizza l’emissione, il rinnovo e la gestione dei certificati SSL/TLS. L’aggiunta avviene attraverso un profilo specifico che consente agli utenti di selezionare l’opzione desiderata in modo semplice e automatizzato.

Per un certificato breve, della durata di pochissimi giorni, l’automazione svolge infatti un ruolo ancora più essenziale per garantire il rinnovo continuo e senza interruzioni.

Supporto per gli indirizzi IP e nuove possibilità di utilizzo dei certificati digitali

Con l’annuncio di metà gennaio 2025, Let’s Encrypt spiega che d’ora in avanti diventa possibile includere gli indirizzi IP nei certificati. E non più soltanto indirizzi mnemonici.

Si tratta di un’innovazione che rappresenta una svolta per i servizi che operano sul Web senza un nome di dominio associato. Attraverso la validazione http-01 e tls-alpn-01, sarà possibile ottenere certificati pubblicamente affidabili per connessioni TLS basate su IP. Una novità che si rivelerà particolarmente utile in quegli ambienti in cui l’uso del DNS è limitato o non praticabile.

Addio insomma ai messaggi La tua connessione a questo sito non è sicura nel caso di applicazioni erogate sul Web utilizzando semplicemente un indirizzo IP pubblico senza alcun nome di dominio.

Tempistiche e prossimi passi

I primi certificati brevi saranno emessi internamente entro febbraio, mentre un gruppo ristretto di utenti potrà testarli a partire da aprile 2025.

La disponibilità generale del servizio è prevista entro la fine del 2025, insieme al pieno supporto per gli indirizzi IP.

Per adottare con successo i certificati a vita breve, è importante verificare che il client ACME in uso sia in grado di rinnovare automaticamente i certificati senza interruzioni. Passare eventualmente ai certificati brevi non comporterà costi aggiuntivi e offrirà una protezione superiore in molteplici frangenti.