Let’s Encrypt, autorità di certificazione che fornisce certificati TLS per i siti Web, ha annunciato un cambiamento significativo relativo al periodo di validità dei certificati emessi. Attualmente i certificati hanno una validità di 90 giorni, ma entro il 2028 questa durata sarà progressivamente ridotta a soli 45 giorni. La decisione si allinea ai requisiti del CA/Browser Forum, che stabiliscono gli standard tecnici obbligatori per tutte le autorità di certificazione pubbliche.

I certificati TLS (Transport Layer Security) sono strumenti fondamentali per garantire sicurezza e integrità delle comunicazioni su Internet. Permettono di cifrare il traffico tra browser e server, assicurando che dati come password, informazioni finanziarie e messaggi privati non possano essere intercettati o alterati. I certificati TLS sono utilizzati in tutti i servizi web che adottano il protocollo HTTPS, nelle email cifrate tramite TLS e nelle comunicazioni tra server e dispositivi, come API o applicazioni cloud.

Riduzione della validità dei certificati: le motivazioni

La riduzione della durata dei certificati TLS è motivata principalmente da esigenze di sicurezza:

Limitazione del rischio di compromissione : certificati più brevi riducono la finestra temporale in cui un certificato rubato può essere utilizzato per lanciare attacchi.

: certificati più brevi riducono la finestra temporale in cui un certificato rubato può essere utilizzato per lanciare attacchi. Efficienza nella revoca dei certificati : tempi più brevi semplificano e rendono più efficaci i meccanismi di revoca.

: tempi più brevi semplificano e rendono più efficaci i meccanismi di revoca. Allineamento agli standard di settore: tutte le principali autorità di certificazione pubbliche seguiranno simili tempistiche per uniformarsi alle normative del CA/Browser Forum.

In parallelo, Let’s Encrypt ridurrà anche il periodo di riutilizzo dell’autorizzazione, ossia l’intervallo di tempo in cui un dominio già validato può ricevere nuovi certificati senza ripetere la verifica. Attualmente questo periodo è di 30 giorni, ma sarà ridotto a 7 ore entro il 2028, rendendo molto più frequente la necessità di nuove verifiche.

Timeline delle modifiche

Al fine di non cogliere impreparati gli utenti, a partire dagli amministratori IT, Let’s Encrypt introdurrà i cambiamenti in più fasi, supportando diversi profili configurabili dagli utenti:

13 maggio 2026 : il profilo tlsserver opzionale emetterà certificati da 45 giorni. È il profilo dedicato a early adopter e alle attività di test.

: il profilo tlsserver opzionale emetterà certificati da 45 giorni. È il profilo dedicato a early adopter e alle attività di test. 10 febbraio 2027 : il profilo Classic diventa predefinito con certificati da 64 giorni e periodo di riutilizzo di 10 giorni.

: il profilo Classic diventa predefinito con certificati da 64 giorni e periodo di riutilizzo di 10 giorni. 16 febbraio 2028: il profilo Classic permetterà la generazione di certificati validi 45 giorni, con periodo di riutilizzo di 7 ore.

Le scadenze appena comunicate si applicano ai nuovi certificati, quindi gli utenti vedranno l’impatto al momento del primo rinnovo successivo.

Cos’è ACME e come funziona

ACME (Automatic Certificate Management Environment) è uno standard aperto sviluppato dall’IETF (Internet Engineering Task Force) per automatizzare l’emissione, il rinnovo e la revoca dei certificati TLS.

Let’s Encrypt ha creato e promosso ACME perché serviva un modo standard e sicuro per gestire automaticamente i certificati. Grazie all’azione di Let’s Encrypt, ACME è diventato il protocollo di riferimento supportato anche da altre autorità di certificazione che vogliono offrire un’automazione simile.

All’atto pratico, ACME serve a far dialogare in modo sicuro un server (o un client) con un’autorità di certificazione, senza richiedere interventi manuali da parte dell’utente.

In vista dei cambiamenti cui fa riferimento Let’s Encrypt, è necessario verificare il funzionamento delle procedure di rinnovo basate su ACME per scongiurare eventuali interruzioni del servizio e non rischiare di servire pagine Web che espongono un certificato scaduto.

ACME è comunque fondamentale perché elimina la necessità di rinnovare manualmente i certificati, cosa che diventa critica quando la loro validità si riduce a 45 giorni, come annunciato da Let’s Encrypt.

Miglioramenti nell’automazione: DNS-PERSIST-01

Il principale ostacolo all’automazione dei certificati è la verifica del controllo del dominio, che richiede accesso diretto a server o DNS. Let’s Encrypt, insieme a CA/Browser Forum e IETF, sta introducendo DNS-PERSIST-01, un nuovo metodo che consente di configurare una singola entry TXT a livello di record DNS per la verifica del dominio.

Grazie a DNS-PERSIST-01, è possibile rinnovare automaticamente i certificati senza modificare la configurazione DNS ad ogni rinnovo nonché ridurre la dipendenza dal riutilizzo delle autorizzazioni, semplificando l’automazione.

L’effettiva adozione di DNS-PERSIST-01 è previsto nel 2026 e rappresenta un passo importante verso una gestione più sicura e semplice dei certificati TLS.