Il CA/Browser Forum è un gruppo che riunisce le Certificate Authority (CA), entità riconosciute come credibili per il rilascio dei certificati, e gli sviluppatori dei browser, che si affidano alle CA per garantire il funzionamento delle connessioni SSL/TLS.
I lucchetti verdi che appaiono nelle connessioni verso i vari siti, e che ormai dovrebbero essere lo standard (e qualcuno come Cloudflare sta davvero cercando di bloccare l’uso di HTTP non cifrato), funzionano con la combinazione CA/browser: ci si connette al sito, questo restituisce un certificato che il browser prima controlla per quanto riguarda data e nome del sito (CN, il Common Name) e poi mediante l’autenticità che solo la CA può garantire.
Allora, solo allora, un certificato viene considerato valido.
Questo breve riassunto introduce la notizia di oggi, riportata da Bleeping Computer, che riguarda da vicino CA e sviluppatori di browser i quali, riuniti appunto nel CA/Browser Forum, hanno deciso di portare la durata dei certificati a 47 giorni entro il 2029.
La proposta è partita nel 2024 da Apple, per via degli ormai noti a tutti rischi, come chiavi compromesse, algoritmi obsoleti e dati non aggiornati (come il dominio o il nome dell’organizzazione).
Insomma: più breve è la durata, minore la finestra di esposizione’.
Sia le Certification Authority (DigiCert, Sectigo, GlobalSign), sia i vendor di browser (Google, Mozilla, Microsoft, e ovviamente Apple stessa) hanno accolto con favore unanime la proposta e deciso questa roadmap, parte di un piano quadriennale.
- Il primo taglio arriva nel 2026: la durata massima dei certificati (e della validazione del dominio, DCV) passa da 398 a 200 giorni. È già una bella sforbiciata, ma gestibile ancora manualmente.
- Un anno dopo, si dimezza ancora: 100 giorni. A questo punto diventa complicato farlo manualmente: si dovrà rinnovare tutto circa ogni tre mesi. Ecco che si spinge fortemente verso l’automazione (ad es. con ACME, come fa Let’s Encrypt).
- Infine, nel 2029, la vera rivoluzione: solo 47 giorni di validità per il certificato e 10 giorni per la validazione del dominio.
Si fa in fretta a capire come la decisione mandi un messaggio chiaro: o automatizzi tutto, o i tuoi servizi HTTPS inizieranno a fallire a causa certificati scaduti.
Rimane il mistero sul perché siano 47 i giorni scelti e non 50, o 45.
Dall’articolo e dai vari annunci non pare esservi una spiegazione logica, ma del resto non si può mica avere tutto dalla vita.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)