Riduzione progressiva del periodo di validità dei certificati SSL
Dal mese di Febbraio 2026 inizia una fase denominata "Lifetime Reduction" che porterà progressivamente la durata dei certificati SSL a 47 giorni nel Marzo del 2029.
Questa nuova direttiva entra in vigore dopo l'approvazione ufficiale del CA/Browser Forum dell'11 Aprile 2025. E' un cambiamento importante che avviene gradualmente in 3 anni per consentire a tutti di adeguare le proprie procedure di gestione dei certificati.
La ragione di questo cambiamento è legata alla sicurezza. Con il miglioramento delle capacità dei criminali informatici di sfruttare le vulnerabilità e decifrare i codici, non è più sufficiente limitarsi a rendere più difficile tale operazione. Una durata di validità più breve dei certificati significa che, in caso di compromissione, gli hacker avranno molto meno tempo per sfruttare la violazione a proprio vantaggio. Ciò impone inoltre verifiche più frequenti della proprietà del dominio e spinge il settore verso la gestione automatizzata dei certificati.
| Data entrata in vigore | Periodo di validità |
|---|---|
| Fino al 14 Marzo 2026 | 398 giorni |
| Dal 24 Febbraio 2026 (DigiCert) | 199 giorni |
| Dal 12 Marzo 2026 (Sectigo) | 199 giorni |
| Fal 15 Marzo 2027 | 100 giorni |
| Dal 15 Marzo 2029 | 47 giorni |
Con l'entrata in vigore di queste nuove direttive le 2 date non saranno più uguali.
Ad esempio, dopo il 12 marzo 2026, se un cliente acquista un certificato SSL valido per 365 giorni, non riceverà un singolo certificato valido per un anno intero. Riceverà invece un certificato iniziale valido per 199 giorni. Il tempo rimanente della validità del certificato verrà quindi utilizzato per il reissue di ulteriori certificati fino alla scadenza dell'ordine.
Questo modello di riemissione diventerà sempre più frequente con l'accorciarsi dei periodi di validità. Entro il 2029, un certificato valido per un anno potrebbe richiedere fino a otto riemissioni, ogni riemissione richiede una nuova validazione.
E' importante sapere che i browser verificano la validità di un certificato solo al momento dell'utilizzo. Non valutano l'intera durata di validità del certificato, quindi gli utenti finali non noteranno alcuna differenza nel funzionamento dei certificati; ciò significa che il cambiamento è interamente a livello operativo.
Con la progressiva diminuzione della durata dei certificati aumenterà quindi la frequenza di riemissione, un'attività che fino ad oggi poteva essere effettuata una volta l'anno ma che ora dovrà essere automatizzata, soprattutto da parte di aziende che gestiscono decine o centinaia di certificati.
A questo scopo abbiamo creato per i nostri clienti delle nuove API che consentono di automatizzare l'acquisto dei certificati, il rinnovo, le richieste di reissue e anche la validazione (tramite record DNS)
Il CA/Browser Forum (Certification Authority Browser Forum) è un consorzio volontario composto da due gruppi principali di attori che governano la sicurezza delle comunicazioni su internet:
Le Autorità di Certificazione (CA): Le entità che emettono i certificati digitali SSL/TLS (come DigiCert, Sectigo, Let's Encrypt).
I Produttori di Browser: Gli sviluppatori dei software di navigazione (come Google per Chrome, Apple per Safari, Microsoft per Edge e Mozilla per Firefox).
Il suo compito principale è stabilire le linee guida tecniche e operative che regolano l'emissione e la gestione dei certificati digitali. In pratica, decidono le "regole del gioco" affinché il lucchetto che vedi nella barra degli indirizzi del browser sia sinonimo di sicurezza reale.
Contattaci senza impegno, ti aiuteremo a scegliere il certificato SSL più adatto alle tue esigenze