Apple rilascia una bozza di voto per ridurre la durata di vita dei certificati a 47 giorni
*Questo articolo del blog è stato aggiornato il 14/04/2025 in base al voto di ballottaggio dell'11/04/2025 che ha confermato la nuova durata del certificato.
Il 9 ottobre 2024, durante il secondo giorno dell'incontro faccia a faccia del CA/Browser Forum autunnale, Apple ha rivelato una bozza di votazione per la discussione su GitHub, proponendo una riduzione incrementale della durata massima per i certificati SSL/TLS pubblici. L'11 aprile 2025, la proposta di Apple, sponsorizzata da Sectigo, è stata approvata senza voti contrari.
Questo approccio graduale ridurrà la durata dei certificati nel corso dei prossimi quattro anni a 47 giorni entro il 2029 e includerà anche una riduzione graduale del periodo di riutilizzo della convalida del controllo del dominio (DCV), che alla fine richiederà una riconvalida ogni 10 giorni.
Una tendenza in accelerazione alla riduzione della durata di vita dei certificati digitali
Questa mossa di Apple segue il precedente annuncio di Google, nella sua roadmap “Moving Forward, Together”, dell'intenzione di ridurre la validità massima dei certificati SSL/TLS pubblici da 398 giorni a 90 giorni, in un futuro aggiornamento della policy o in una proposta di voto del CA/B Forum.
L'attuale approvazione del voto Apple e la proposta di Google di 90 giorni inviano chiaramente un messaggio forte al settore, con i due più grandi browser che sostengono entrambi una durata più breve dei certificati digitali.
In questa nuova era della durata dei certificati, ecco cosa possono aspettarsi le aziende:
Perché questi numeri?
Le durate dei certificati pubblici proposte da Apple possono sembrare complesse all'inizio, ma seguono una semplice logica di durata ideale del certificato + finestra di rinnovo anticipato:
- 200 giorni = 180 giorni (6 mesi) + 20 giorni di rinnovo anticipato
- 100 giorni = 90 giorni (3 mesi) + 10 giorni di rinnovo anticipato
- 47 giorni = 42 giorni (6 settimane) + 5 giorni di rinnovo anticipato
Nonostante la logica, la graduale riduzione della durata dei certificati sarà senza dubbio un problema per i team di sicurezza informatica, impegnati a gestire molti certificati in scadenza in tempi diversi. È facile prevedere che le aziende che utilizzano metodi manuali per tracciare e monitorare le scadenze dei certificati si troveranno presto sopraffatte dalla rapida evoluzione dei tempi di vita dei certificati. Dopo tutto, Apple suggerisce che i cicli di vita dei certificati cambiano ogni anno!
Oltre alla riduzione dei termini massimi dei certificati, il periodo di riutilizzo del DCV diminuirà come segue, se la proposta passerà:
Data | Durata massima del certificato | Periodo di riutilizzo del DCV |
3/15/26 | 200 giorni | 200 giorni |
3/15/27 | 100 giorni | 100 giorni |
3/15/28 | 100 giorni | 10 giorni |
3/15/29 | 47 giorni | 10 giorni |
È ora di automatizzare la gestione del ciclo di vita dei certificati
Questa proposta evidenzia l'importanza cruciale per le aziende di tutte le dimensioni di prendere seriamente in considerazione e implementare una gestione completamente automatizzata del ciclo di vita dei certificati (CLM). È davvero urgente che le aziende adottino un approccio “imposta e dimentica” al rinnovo dei certificati, in modo che qualsiasi cambiamento futuro nelle finestre di rinnovo non abbia un impatto sulle loro attività o causi inutili tempi di inattività e interruzioni.
Sectigo è pienamente impegnata a sostenere queste iniziative dai browser. La nostra decisione di sponsorizzare quest'ultima proposta di voto è una testimonianza della nostra dedizione all'integrità dell'ecosistema WebPKI e alla sicurezza dei nostri clienti. Sectigo Certificate Manager (SCM) è la piattaforma di gestione del ciclo di vita dei certificati più completa sul mercato, progettata per affrontare in modo proattivo le sfide SSL di domani. Programmate oggi stesso una demo per scoprire come la vostra azienda può trarre vantaggio da SCM, oppure avviate una prova gratuita.