Nell'edizione SC-081v3, il CA/Browser Forum ha concordato che entro il 2029 la validità massima dei certificati sarà ridotta a 47 giorni, dopo una graduale diminuzione rispetto agli anni precedenti.
Vantaggi principali
- La gestione manuale dei certificati non è più matematicamente fattibile. La transizione da cicli di vita annuali ad una durata di 47 giorni aumenta i carichi di lavoro operativi di nove volte, creando un minimo margine di errore che rende i fogli di calcolo e i calendari tradizionali un percorso garantito verso le interruzioni dei servizi.
- La visibilità è il prerequisito fondamentale per la sicurezza. Le grandi organizzazioni spesso si trovano a dover affrontare problemi di endpoint non documentati e IT ombra, con conseguenti tempi di downtime imprevisti; la gestione di un inventario centralizzato e automatizzato garantisce che ogni certificato venga monitorato e rinnovato prima della scadenza.
- Le applicazioni mobili sono esposte al rischio di "infettarsi". A differenza dei browser, le app mobili spesso incorporano una logica di affidabilità statica che non funziona quando i certificati del server cambiano rapidamente, richiedendo un passaggio ad un pinning dinamico o della chiave pubblica per impedire un'interruzione immediata dei servizi per gli utenti.
- L'infrastruttura di fiducia deve ora operare alla velocità della delivery del software. Il trattamento dei certificati come attività amministrative isolate comporta colli di bottiglia nella distribuzione; l'integrazione dello stato dei certificati direttamente nelle pipeline CI/CD consente alle organizzazioni di applicare policy di sicurezza e verificare continuamente il livello di fiducia.
- L'automazione deve sostituire l'intervento umano per garantire la resilienza. La generazione manuale di CSR e le approvazioni basate su e-mail introducono problemi di latenza e incoerenza che non si possono risolvere entro il limite di 47 giorni; l'adozione dell'automazione basata su eventi e su ACME assicura che i rinnovi siano programmatici, ripetibili e sicuri.
Domande frequenti (FAQ)
In base al nuovo limite, in caso di riutilizzo entro il 2029, la DCV sarà limitata a soli 10 giorni, quindi le organizzazioni devono effettuare una prova della proprietà del dominio quasi ogni settimana.
Le app mobili presentano un "divario di asimmetria" perché spesso incorporano una logica di attendibilità o certificati bloccati direttamente nei file binari distribuiti, che non possono essere aggiornati con la rotazione dei certificati lato server.
Akamai consiglia di passare dal blocco dei certificati LEAF al pinning SPKI (Subject Public Key Info) per riemettere i certificati con nuove date di scadenza durante il riutilizzo della stessa coppia di chiavi.
Il primo certificato viene visualizzato sulla piattaforma edge per l'utente finale, mentre il secondo certificato viene visualizzato sul server di origine per la piattaforma edge allo scopo di mantenere una catena di fiducia completa.
Se la rotazione del certificato di origine richiede un intervento manuale, Akamai suggerisce di eseguire il pinning di un certificato di origine specifico nella configurazione edge come misura di blocco, con un processo che prevede una rotazione ogni anno o due anni.
Il meccanismo ACME EAB (External account Binding) collega le richieste di certificato automatizzate ad un account verificato con un'autorità di certificazione (CA) in modo da consentire solo agli utenti autorizzati di emettere certificati richiedendo una prova crittografica durante la registrazione dell'account. L'EAB viene comunemente utilizzato per applicare il controllo degli accessi, la fatturazione, la conformità alle policy e l'auditabilità per l'emissione automatizzata dei certificati.
Il metodo ACME EAB consente di effettuare interazioni autenticate e basate su policy con le autorità dei certificati commerciali, offrendo un'automazione "zero-touch" e preservando, al contempo, i controlli delle identità e i workflow di approvazione esistenti.
I responsabili devono privilegiare il controllo dell'inventario dei certificati per stabilire un'unica fonte di dati, mappare tutte le dipendenze del rinnovo manuale e controllare le app mobili per evitare il pinning dei certificati LEAF ad alto rischio.