CercaAssistenzaProva Gratuita
Contattaci
Sectigo Blog

Tenere d'occhio l'orologio TLS: Date chiave del ciclo di vita dei certificati da conoscere

Il passaggio a una validità dei certificati SSL/TLS di 6 mesi (199 giorni) a partire dal 15 marzo 2026 segna l'inizio di una rapida accelerazione verso cicli di vita più brevi, fino a raggiungere i 46 giorni entro il 2029. Con il moltiplicarsi dei volumi di rinnovi, i processi manuali si guasteranno sotto la pressione, evidenziando lacune in termini di visibilità, proprietà e automazione. Le organizzazioni devono adottare la gestione del ciclo di vita dei certificati (CLM) per automatizzare la scoperta, l'emissione e il rinnovo su scala, garantendo la resilienza, prevenendo le interruzioni e preparandosi a un futuro caratterizzato da operazioni continue sui certificati e da richieste post-quantum.

Jason Soroko
Di Jason Soroko, Fellow27 marzo 20267 min di lettura

Perché il vostro team deve prepararsi oggi

La sostituzione dei certificati su scala non è più uno scenario "post-quantum someday". Man mano che il settore passa dai rinnovi annuali a cicli misurati in mesi, poi in settimane, ogni organizzazione sarà spinta a emettere, convalidare e distribuire i certificati con maggiore frequenza. Ciò significa che la capacità di sostituire i certificati in massa (in modo rapido, sicuro e senza interruzioni) diventa un requisito fondamentale.

Le durate più brevi comprimono tutto: l'accuratezza dell'inventario, le approvazioni, la convalida del controllo del dominio (DCV), le finestre di modifica e i flussi di lavoro di distribuzione. Quando le durate scendono a 199 giorni, poi a 99 giorni e infine a 46 giorni, il volume dei rinnovi di fatto raddoppia (2x), poi raddoppia ancora (4x), poi triplica (12x). Eventuali lacune nella scoperta, nella proprietà o nell'automazione dei processi si manifestano immediatamente come rinnovi falliti, endpoint scaduti e interventi di emergenza.

Lagestione del ciclo di vita dei certificati (CLM) risolve il problema della "sostituzione di massa" trasformando il lavoro sui certificati in un sistema controllato e ripetibile. Con il CLM, i team possono scoprire continuamente i certificati, standardizzare le politiche, automatizzare l'emissione/il rinnovo, orchestrare le distribuzioni e dimostrare la conformità, in modo che quando la durata di vita si accorcia ulteriormente (o quando è necessario un cambio urgente di chiave/algoritmo), sia possibile ruotare i certificati tra gli ambienti in poche ore o giorni, invece di dover lottare per settimane.

Di seguito è riportato un calendario delle date più importanti da tenere sotto controllo, il motivo per cui sono importanti e il tipo di impatto da aspettarsi.

2026: Fine dell'era dei certificati annuali

12 marzo 2026: il cut-off di Sectigo

Il 12 marzo segna l'ultimo giorno in cui Sectigo emetterà certificati TLS pubblici. La data è stata scelta intenzionalmente per cadere in un giorno feriale, in modo da dare alle organizzazioni un piccolo margine di sicurezza prima che entrino in vigore i più ampi cambiamenti del settore.

In questo giorno:

  • Sectigo smette di emettere certificati TLS pubblici della durata di 1 anno/398 giorni.
  • Il riutilizzo del DCV viene ridotto da un anno a 198 giorni.

14 marzo 2026: l'ultimo giorno di "Business as usual" per l'intero settore.

Questo è l'ultimo giorno in cui qualsiasi autorità di certificazione può operare con il modello di durata dei certificati di 398 giorni/1 anno.

In questo giorno:

  • Ultimo giorno in cui qualsiasi CA può emettere un certificato di 398 giorni.
  • Ultimo giorno per riutilizzare DCV per più di 198 giorni
  • Ultimo giorno per riutilizzare l'OV per più di 366 giorni.

Se avete bisogno di un ultimo certificato di lunga durata o di un riutilizzo esteso della convalida, questa è la vostra scadenza.

15 marzo 2026: entrata in vigore del cambiamento di politica

Il 15 marzo le nuove regole entrano ufficialmente in vigore.

In questo giorno:

  • La durata massima dei certificati TLS scende a 199 giorni.
  • Il riutilizzo massimo del DCV scende a 199 giorni
  • Il riutilizzo di OV è limitato a 366 giorni.

I nostri esperti si aspettano un forte picco di riconvalida dei DCV. Questo è il primo momento in cui le lacune dell'automazione iniziano a farsi sentire. I team che si affidano ancora al DCV manuale o a flussi di lavoro di rinnovo poco frequenti ne risentiranno rapidamente.

30 settembre 2026: il "giorno della resa dei conti".

Sei mesi dopo, la realtà si farà sentire. I primi certificati a 199 giorni inizieranno a scadere e le aziende impreparate inizieranno a vedere in tempo reale gli effetti della riduzione della durata dei certificati.

In questo giorno:

  • Il volume dei rinnovi raddoppia

Questo diventa il primo importante stress test operativo del nuovo ciclo di vita. Se non eravate preparati prima, ve ne accorgerete sicuramente ora.

2027: L'accelerazione e la morte definitiva dei certificati annuali

14 marzo 2027: gli ultimi certificati a 199 giorni

In questo giorno:

  • Questo è l'ultimo giorno in cui una CA può:
  • emettere un certificato di 199 giorni
  • Riutilizzare DCV per più di 99 giorni

Questo giorno segna anche l'inizio della finestra di scadenza finale per i certificati legacy di un anno.

15 marzo 2027: benvenuto ai certificati di 99 giorni

Un anno dopo l'implementazione della durata di vita dei certificati di 199 giorni, si assiste a un'ulteriore diminuzione, come richiesto dal CA/Browser Forum.

In questo giorno:

  • La durata massima dei certificati scende a 99 giorni
  • Il riutilizzo del DCV scende a 99 giorni

Si prevede un altro picco (minore) di riconvalida dei DCV. A questo punto, le operazioni trimestrali sui certificati diventano obbligatorie anziché facoltative.

16 aprile 2027: i certificati di un anno sono completamente scomparsi.

Questo è l'ultimo giorno possibile in cui un certificato grandfathered di 398 giorni può essere ancora attivo. Dopo il 16 aprile:

  • I certificati TLS pubblici di un anno non esistono più su Internet.

27 giugno 2027: l'ondata di scadenze a 99 giorni

I primi certificati a 99 giorni (emessi il 15 marzo) iniziano a scadere e il volume dei rinnovi raddoppia di nuovo. A metà del 2027, il traffico di rinnovi è già diverse volte superiore a quello che la maggior parte delle organizzazioni sperimenta oggi.

29 settembre 2027: la fine dei certificati a 6 mesi

Alla fine di settembre, assisteremo alle stesse ripercussioni che abbiamo visto con i certificati a 199 giorni. Scadenze ovunque per chi non è automatizzato.

In questo giorno:

  • Ultimo giorno possibile di esistenza di un certificato a 199 giorni
  • I certificati TLS a sei mesi scompaiono completamente

D'ora in poi, tutto è di tre mesi o meno.

2029: I certificati diventano un evento mensile

14 marzo 2029: gli ultimi certificati a 99 giorni

Il 14 marzo è l'ultimo giorno per i certificati plurimensili. È l'ultimo giorno in cui una CA può:

  • emettere un certificato di 99 giorni
  • Riutilizzare il DCV per più di 8 giorni circa.

Questo è anche il momento in cui la cadenza del DCV passa da trimestrale... a settimanale.

15 marzo 2029: il mondo di 46 giorni

In questo giorno:

  • La durata massima del certificato scende a 46 giorni
  • Il rinnovo mensile dei certificati diventa la norma
  • Il riutilizzo del DCV è effettivamente settimanale

Qualsiasi processo manuale rimanente a questo punto sarà un punto di rottura.

30 aprile 2029: il carico di rinnovi esplode

A questo punto, i certificati non sono più un'attività in background, ma un movimento operativo costante.

In questo giorno:

  • Iniziano a scadere i primi certificati a 46 giorni
  • Il carico di lavoro dei rinnovi raggiunge circa 12 volte i livelli attuali

2030 e oltre: Durata di vita breve, pressione quantistica e futuro

Entro il 2030, il settore opererà con cicli di vita dei certificati iper-brevi per impostazione predefinita. Questo non solo promuove l'igiene della sicurezza, ma anche la resilienza in un mondo che sta cambiando più velocemente di quanto la crittografia abbia fatto storicamente.

L'informatica quantistica ha un ruolo importante in questo contesto. Sebbene gli attacchi quantistici pratici e su larga scala contro la crittografia a chiave pubblica siano ancora lontani anni, la tempistica di risposta è importante. Tempi di vita dei certificati più brevi riducono drasticamente il raggio d'azione di scoperte crittografiche, chiavi compromesse o transizioni di algoritmi di emergenza.

In un futuro post-quantistico:

  • I certificati potrebbero dover essere sostituiti in massa con brevissimo preavviso.
  • L'agilità crittografica è ottenibile solo attraverso l'automazione.
  • L'emissione settimanale o addirittura su richiesta potrebbe diventare normale.

Il lavoro che viene imposto alle organizzazioni ora (automazione, visibilità dell'inventario, efficienza del DCV e orchestrazione del rinnovo) sta gettando le basi per questo futuro.

Cosa devo fare oggi?

Le durate dei certificati stanno cambiando radicalmente il modo di operare dei team. Quello che prima era un compito annuale o trimestrale sta diventando un sistema continuo che deve scalare, riprendersi rapidamente e adattarsi velocemente.

Le date sopra citate sono tanto pietre miliari del settore quanto segnali di avvertimento dei cambiamenti futuri.

Il percorso da seguire è semplice. Se non l'avete ancora fatto:

  • Automatizzare l'emissione e il rinnovo end-to-end
  • Eliminare il DCV manuale, ove possibile
  • Trattare i certificati come infrastrutture, non come scartoffie

Il tempo scorre e da qui in poi sarà sempre più veloce.

Volete saperne di più? Contattateci per prenotare una demo di Sectigo Certificate Manager!

Messaggi correlati:

Capire la scala del rischio: 6 mesi di validità SSL/TLS a partire dal 15 marzo 2026

Quando la fiducia digitale si spezza: Come la riduzione della durata di vita dei certificati espone il debito di sicurezza nascosto

Come l'automazione dei certificati protegge le organizzazioni di trasporto e logistica nell'era dell'SSL a 47 giorni