Rapporto sullo stato dell'agilità crittografica nel 2025: come le organizzazioni si stanno preparando alla crittografia post-quantistica
Sectigo e la società di ricerca globale Omdia hanno collaborato alla redazione del rapporto 2025 State of Crypto Agility Report. Questo blog analizza i risultati principali, presentando i risultati del sondaggio condotto su 272 dirigenti di livello C, vicepresidenti e direttori dei reparti IT, operazioni tecniche, sicurezza informatica e rischio in tutto il mondo, al fine di comprendere come le organizzazioni si stanno preparando e dove sono carenti in vista della crittografia post-quantistica.
Sommario
- Che cos'è la agilità crittografica e perché è importante?
- La riduzione della durata dei certificati: il primo campanello d'allarme per dare priorità alla crypto agility
- Perché la gestione manuale dei certificati è un rischio che non potete permettervi
- L'agilità crittografica inizia con l'automazione
- La minaccia quantistica è alle porte
- Colmare il divario con un Centro di eccellenza crittografica (CCOE)
- La strada da seguire
Per la prima volta nella storia dell'informatica moderna, la crittografia che è alla base della sicurezza digitale globale deve essere eliminata e sostituita. Quella che una volta era una previsione lontana è ora diventata una realtà che si avvicina rapidamente. Il rapporto 2025 State of Crypto Agility, condotto da Sectigo in collaborazione con Omdia, fornisce il quadro più chiaro mai realizzato della posizione delle organizzazioni di fronte a questo cambiamento epocale.
Dalla riduzione della durata dei certificati alla minaccia incombente del quantum computing, le aziende si trovano ad affrontare una trasformazione ad alto rischio nel modo in cui gestiscono e proteggono la loro infrastruttura crittografica. La conclusione è chiara: la cripto-agilità deve diventare un imperativo aziendale per sopravvivere a questa nuova era.
Che cos'è la crypto agility e perché è importante?
La agilità crittografica è la capacità di individuare, gestire, sostituire e adattare rapidamente le risorse crittografiche, inclusi certificati e algoritmi di crittografia, in risposta alle minacce alla sicurezza in continua evoluzione.
Due forze urgenti stanno convergendo per rendere la crypto agility un requisito indispensabile:
- La durata dei certificati SSL/TLS, destinata a diminuire dagli attuali 398 giorni a soli 47 giorni entro il 2029.
- La migrazione al computing post-quantistico entro il 2030.
La combinazione di questi due fattori richiede un nuovo approccio: un approccio in cui l'automazione, la visibilità e l'adattamento crittografico continuo siano integrati nel fabric di sicurezza della vostra organizzazione. L'approccio suggerito: la gestione automatizzata del ciclo di vita dei certificati (CLM).
La riduzione della durata dei certificati: il primo campanello d'allarme per dare priorità alla crypto agility
A partire dal 15 marzo 2026, la durata massima consentita per i certificati SSL/TLS pubblici scenderà a 200 giorni, con un cadenza di rinnovo di 6 mesi, e entro il 2029 scenderà a soli 47 giorni, con un programma di rinnovo mensile. Ciò significa:
- 12 volte più rinnovi
- 12 volte più lavoro
- 12 volte il rischio di interruzioni del servizio
|
Scadenza |
Durata massima dei certificati TLS pubblici |
Cadenza di rinnovo |
Periodo massimo di riutilizzo DCV |
15 marzo 2026 | 200 giorni | 6 mesi | 200 giorni |
15 marzo 2027 | 100 giorni | 3 mesi | 100 giorni |
15 marzo 2029 | 47 giorni | 1 mesi | 10 giorni |
Secondo il rapporto:
- Il 96% delle organizzazioni è preoccupato per l'impatto della riduzione della durata dei certificati sulla propria attività.
- Meno di 1 organizzazione su 5 (19%) si sente preparata a gestire i rinnovi mensili.
- Solo il 28% dispone di un inventario completo dei certificati.
- E solo il 13% è sicuro di poter tracciare i certificati non autorizzati o ombra.
I calcoli operativi sono scoraggianti: 12 volte più rinnovi, 12 volte più rischi e 12 volte più lavoro entro il 2029, a meno che non venga implementata l'automazione.
Perché la gestione manuale dei certificati è un rischio che non potete permettervi
Con la riduzione dei periodi di validità dei certificati, il carico di lavoro dei team IT e di sicurezza cresce in modo esponenziale. Il rapporto rivela che:
- Solo il 53% delle organizzazioni automatizza il rinnovo dei certificati.
- Un terzo (33%) delle aziende automatizza la distribuzione dei certificati, lasciando che gli altri due terzi li distribuiscano manualmente. Solo il 32% automatizza la convalida del controllo del dominio (DCV).
Ciò significa che la maggior parte delle organizzazioni si affida ancora a metodi manuali, una scommessa pericolosa in un mondo in cui anche un solo certificato scaduto può causare interruzioni, violazioni della conformità e perdita di entrate.
L'agilità crittografica inizia con l'automazione
Una delle informazioni più incoraggianti emerse dal rapporto è che il 90% delle organizzazioni riconosce che il lavoro necessario per prepararsi a una durata più breve dei certificati si sovrappone direttamente alla preparazione alla PQC. Ciò significa che investire oggi nell'automazione e nella gestione del ciclo di vita dei certificati, elementi fondamentali per l'agilità dei certificati, aiuta a costruire una solida base per l'agilità crittografica di domani.
Tuttavia, nonostante comprendano questa correlazione tra l'agilità dei certificati e il raggiungimento dell'agilità crittografica, le organizzazioni rimangono bloccate nel loro percorso di evoluzione
- Solo il 5% delle organizzazioni ha completamente automatizzato la gestione dei certificati.
- Il 57% afferma che le priorità concorrenti della roadmap rappresentano un ostacolo significativo o critico all'adozione dell'automazione.
- Un incredibile 95% rimane almeno parzialmente dipendente dai processi manuali, poiché sta pianificando di aumentare l'automazione o sta ancora valutando il proprio approccio.
Ciò segnala una pericolosa discrepanza tra consapevolezza ed esecuzione effettiva.
La minaccia quantistica è alle porte
Le scadenze dei certificati sono alle porte, e per una buona ragione. Il quantum computing presenta una serie di preoccupazioni per la sicurezza digitale odierna, anche se può sembrare ancora lontano alcuni anni.
Le macchine quantistiche potrebbero decriptare i dati crittografati di oggi nel giro di pochi anni, e gli hacker lo sanno. Ecco perché sono già in corso attacchi Harvest Now, Decrypt Later (HNDL), in cui gli autori delle minacce memorizzano dati crittografati ora per decriptarli in futuro. Una volta maturi, i computer quantistici saranno in grado di violare RSA ed ECC, gli algoritmi che proteggono la stragrande maggioranza dei dati digitali odierni. Il NIST prevede di deprecare entrambi nel 2030, con il divieto totale entro il 2035.
- Il 60% delle organizzazioni è “molto o estremamente preoccupato” per gli attacchi HNDL.
- Il 92% prevede di aumentare gli investimenti nella crittografia post-quantistica (PQC) entro 2-3 anni.
- Tuttavia, solo il 14% ha condotto una valutazione completa dei sistemi vulnerabili al quantum.
Il rischio è reale e il tempo stringe.
Y2K vs. Q-Day
Spesso paragonato al Y2K, il quantum computing non è un argomento da prendere alla leggera. Il passaggio alla crittografia post-quantistica (PQC) rispecchia la sfida del Y2K in quanto entrambi richiedono un coordinamento proattivo a livello aziendale per affrontare un cambiamento tecnologico sistemico e imminente. Proprio come il Y2K ha richiesto una revisione approfondita del codice, dei sistemi e delle dipendenze per evitare guasti critici, la PQC richiede una trasformazione operativa completa che raggiunga ogni livello dell'organizzazione, dall'infrastruttura e dagli strumenti alla governance e alla collaborazione tra i team.
Non è sufficiente sostituire gli algoritmi; le aziende devono ripensare il modo in cui la crittografia viene integrata, gestita e scalata, con priorità quali l'integrazione con le piattaforme esistenti (58%), la facilità di implementazione (55%) e le opzioni di automazione (49%). In entrambi i casi, il successo dipende dal considerare il cambiamento come una responsabilità condivisa tra IT, sicurezza e leadership aziendale, affrontandolo con misure deliberate e coordinate piuttosto che con soluzioni dell'ultimo minuto.
La lezione del millennium bug è chiara: chi investe tempestivamente in visibilità, automazione e collaborazione affronterà la PQC con resilienza, mentre chi ritarda rischia di trovarsi impreparato quando la necessità diventerà urgente.
Millennium bug | Q-Day | |
Data prevista | Ben nota 1 gennaio 2000 | Sconosciuta, stimata nel 2030 |
Durata della minaccia | Finita: nessuna minaccia pre-millennium bug, terminata nel giro di pochi mesi | In corso: attacchi attivi ora, minacce in corso dopo il Q-day |
Impatto sul sistema | Limitato: applicazioni, aggiornamenti dei dati | Ampio: tutti i sistemi interconnessi, le reti, le applicazioni e l'infrastruttura dei dati |
Tempistica di implementazione avanzata | 6-12 mesi di anticipo | Anni di anticipo |
Livello di impegno richiesto per porre rimedio | Centinaia di miliardi di dollari, milioni di ore di lavoro | Completamente sconosciuto |
Colmare il divario con un Centro di eccellenza crittografica (CCOE)
Il rapporto sottolinea la necessità di una risposta centralizzata alla modernizzazione della crittografia. Con l'aumentare della complessità, le organizzazioni dovranno istituire Centri di eccellenza crittografica per coordinare team, strumenti e infrastrutture.
Secondo Gartner, entro il 2028 le organizzazioni dotate di CryptoCOE risparmieranno il 50% dei costi di transizione al PQC rispetto a quelle che ne sono sprovviste. Senza una strategia centralizzata, la trasformazione crittografica rischia di diventare frammentata, caotica e inefficace.
La strada da seguire
Il messaggio del rapporto “Stato dell'agilità crittografica” è chiaro:
- Le scadenze si avvicinano rapidamente e la gestione manuale dei certificati non sarà scalabile quando i ritmi di rinnovo inizieranno a diminuire.
- Il PQC è una priorità strategica ora, non in futuro.
- L'automazione è il modo più efficace per ridurre i rischi, i costi e la complessità.
La crypto agility è un percorso, ma il primo passo è imprescindibile: automatizzare oggi. In questo modo non solo preparerete la vostra organizzazione al futuro dei certificati di 47 giorni, ma costruirete anche la resilienza necessaria per sopravvivere all'era quantistica.
Volete i dati completi, gli approfondimenti e i consigli?
Scoprite come le organizzazioni si stanno preparando (e dove stanno fallendo) in materia di agilità crittografica, gestione dei certificati e preparazione al PQC.