Certificati TLS da 90 giorni – La proposta di Google

Certificati TLS da 90 Giorni – La proposta di Google

Nel marzo 2023, nel post “Moving Forward, together” Google ha dichiarato di voler ridurre la validità massima dei certificati TLS pubblici da 398 a 90 giorni segnando così uno spartiacque significativo nel panorama della sicurezza informatica. Questa mossa riflette una tendenza più ampia di diminuzione della durata dei certificati, una previsione che ha avuto conferma negli anni recenti. Vediamo cosa implica la proposta di Google e come può influenzare la gestione dei certificati digitali.

Contesto

Google ha annunciato l’intenzione di far valere questa riduzione “In a future policy update or CA/Browser Forum Ballot Proposal,”. Questo dettaglio sottolinea la volontà di Google di apportare questo cambiamento tramite il suo Chrome, rendendolo uno standard de facto per tutte le Certificate Authority (CA) pubbliche commerciali.

E’ anche vero che per i Chief Information Security Officer (CISO) e i loro team, la conseguenza più ovvia riguarda la gestione manuale dei certificati, diventata insostenibile. Già oggi la scadenza di un anno obbliga i team ad operazioni di cambio certificato o di rinnovo abbastanza oneroso. La gestione manuale diventerà un’impresa insostenibile, poiché i certificati dovranno essere rinnovati e gestiti quattro volte l’anno anziché una.

Rischi della Gestione Manuale:

1. Errori: Ogni volta che si deve aggiornare o sostituire il certificato il rischio di errori umani durante il processo aumenta
2. Risorse Significative: Certificati con scadenza breve significano un aumento del lavoro per gli operatori
3. Scalabilità: Tanti più certificati dovrò gestire quanto più sarà difficoltoso gestire le tempistiche così strette.
4. Potenziali Interruzioni e Violazioni dei Dati: Errori nella gestione dei certificati possono portare a break SSL/TLS e violazioni dei dati.

L’Automazione Come Soluzione

La proposta di Google sottolinea l’importanza dell’automazione nella gestione dei certificati digitali. L’automazione non solo riduce i rischi associati a una gestione manuale, ma migliora anche la sicurezza complessiva del processo. L’implementazione di un sistema di gestione del ciclo di vita dei certificati (CLM o Certificate Lifecycle Management ) diventa essenziale per affrontare questa nuova realtà.

1. Discovery Automatico dei Certificati: Un CLM consente l’autodiscovery dei certificati in un ambiente aziendale, indipendentemente dall’Autorità di Certificazione emittente.
2. Notifiche di Scadenza: Avvisa automaticamente sugli imminenti certificati in scadenza.
3. Rinnovo Automatico: Automatizza il processo di rinnovo e installazione dei certificati.
4. Gestione Centralizzata: Offre un punto centralizzato per tracciare il ciclo di vita dei certificati.

Automazione e Protocolli Chiave

L’implementazione dell’automazione richiede la comprensione di protocolli chiave come ACME (Automated Certificate Management Environment), SCEP (Secure Certificate Enrollment Protocol), e EST (Enrollment Over Secure Transport).

ACME: ACME è un protocollo di gestione automatica dei certificati progettato per semplificare e automatizzare il processo di verifica dei domini e il rilascio dei certificati TLS. È ampiamente utilizzato per implementare il protocollo di autorizzazione di Let’s Encrypt, rendendo più agevole l’ottenimento di certificati gratuiti.

SCEP: SCEP è un protocollo utilizzato per semplificare il processo di emissione dei certificati da parte di una Certificate Authority (CA). Spesso utilizzato in ambienti aziendali, SCEP semplifica la distribuzione dei certificati a dispositivi come router e firewall.

EST: EST è un protocollo progettato per migliorare la sicurezza durante il processo di registrazione di certificati. Introduce meccanismi per proteggere la trasmissione dei certificati durante la richiesta e il rilascio.

In conclusione, la riduzione dei certificati TLS a 90 giorni da parte di Google rappresenta un passo verso una maggiore sicurezza, ma impone alle organizzazioni di riconsiderare la gestione dei loro certificati. L’automazione, specialmente con soluzioni CA agnostiche, emerge come la chiave per affrontare questo cambiamento in modo efficace e sicuro. La comprensione dei protocolli come ACME, SCEP e EST diventa essenziale per navigare con successo questo nuovo paesaggio dei certificati digitali. domande, dubbi perplessità ? Siamo qua, contattaci pure !