News

Certificati SSL a 47 giorni: preparati al cambiamento

Punti salienti dell'articolo:
  • Scadenze TLS ridotte a 47 giorni richiedono automazione obbligatoria
  • ACME è lo standard di fatto per i rinnovi automatici
  • CDN come Cloudflare possono trasferire il carico operativo
  • Sistemi embedded e medicali sono il caso più critico
  • Il passaggio prepara anche alla crittografia post‑quantum
  • Solo una minoranza ha oggi gestione certificati completamente automatica
  • Vendor enterprise offrono integrazioni per ambienti misti
  • Inventario e test in staging sono passi indispensabili
  • PKI interne possono risolvere casi regolamentati
Certificati SSL a 47 giorni: preparati al cambiamento

Introduzione

I certificati SSL a 47 giorni stanno ridisegnando la gestione della sicurezza web: scadenze più brevi impongono automazione, nuove scelte tecniche e revisioni dei processi operativi.

Contesto

Negli ultimi decenni la durata massima dei certificati TLS/SSL è stata progressivamente ridotta: da anni fino ai 398 giorni imposti di fatto da Apple e adesso a una roadmap che porta a 200, 100 e infine 47 giorni tra il 2026 e il 2029. Questa evoluzione è motivata dal desiderio di ridurre i rischi legati a certificati compromessi e alla limitata efficacia dei meccanismi di revoca tradizionali (CRL/OCSP).

Definizione rapida

I certificati SSL a 47 giorni sono certificati TLS con validità massima di 47 giorni, pensati per favorire la sicurezza e l'automazione delle rotazioni crittografiche.

Perché sta succedendo (breve storia)

La riduzione delle durate è frutto di decisioni dei browser e del CA/Browser Forum: Apple e altri vendor hanno reso più stringenti i requisiti per proteggere gli utenti. L'obiettivo è anche preparare la rete a transizioni più ampie, come quelle verso la crittografia post-quantum.

Il Problema / Sfida

La sfida pratica è la frequenza di rinnovo: passare da certificati ~398 giorni a 47 giorni aumenta di oltre 8 volte la frequenza delle rotazioni. Molte organizzazioni non hanno automazione completa; secondo fonti del settore solo una minoranza ha sistemi di gestione certificati pienamente automatici.

  • Pressione sulla governance: approvazioni e change board più lente dei cicli di rinnovo
  • Sistemi legacy e embedded: dispositivi industriali e medicali difficili da aggiornare
  • Integrazione ACME non sempre praticabile per infrastrutture complesse

Soluzione / Approccio

La risposta principale è l'automazione: implementare ACME dove possibile, integrare API DNS/hosting, e scegliere soluzioni che coprano sia cloud che on-prem. Le strategie pratiche includono:

  1. Adottare provider con supporto ACME e integrazioni API
  2. Automatizzare distribuzione su load balancer, reverse proxy e CDN
  3. Segmentare l'inventario: individuare sistemi che possono usare CA pubbliche e quelli che richiedono PKI interna
  4. Prevedere processi d'emergenza per dispositivi embedded non aggiornabili frequentemente

Panorama vendor e opzioni

Esistono alternative gratuite e a pagamento: Let's Encrypt è la soluzione ACME più diffusa per certificati pubblici; Cloudflare e altri CDN eliminano molte complessità instradando il traffico; piattaforme enterprise (DigiCert, Sectigo, ZeroSSL, CertKit, ecc.) promettono gestione e integrazioni per ambienti misti.

Enterprise, “missing middle” ed embedded

Le grandi aziende possono creare PKI interne o comprare suite di gestione; il “missing middle” (PMI, industrie, servizi locali) rischia la maggiore vulnerabilità per infrastrutture miste e budget limitati. I dispositivi embedded e medicali rappresentano il caso più critico: aggiornare certificati ogni 47 giorni può essere tecnicamente o regolamentarimente impraticabile.

Linee guida operative

  • Inventariare tutti i certificati e le dipendenze
  • Prioritizzare automazione per front-end pubblici e punti critici (CDN, load balancer)
  • Valutare PKI interne per sistemi air-gapped o regolamentati
  • Testare rinnovi automatici in ambienti di staging prima del roll-out

Conclusione

Il passaggio ai certificati SSL a 47 giorni segna la transizione verso operazioni continue e automatizzate. Organizzazioni che investono oggi in automazione e integrazione guadagneranno resilienza e saranno pronte per future transizioni crittografiche; chi ritarderà rischia interruzioni e costi operativi crescenti.

 

FAQ

  1. Come influiscono i certificati SSL a 47 giorni sulla mia infrastruttura?

    Obbligano a rinnovare i certificati più frequentemente, rendendo necessaria l'automazione per evitare downtime e problemi di compatibilità.

  2. Posso usare ACME per gestire certificati SSL a 47 giorni?

    Sì: ACME è lo standard de facto per l'automazione dei rinnovi, ma richiede accesso a porte HTTP o API DNS e adattamenti per sistemi legacy.

  3. Le CDN risolvono il problema dei certificati a 47 giorni?

    In molti casi sì: servizi come Cloudflare gestiscono i certificati per te, riducendo carico operativo sulle squadre interne.

  4. Che fare con dispositivi embedded o medicali che non possono aggiornare ogni 47 giorni?

    Valutare PKI interne o esenzioni tecniche; è necessario un piano che bilanci sicurezza, regolamentazione e fattibilità operativa.

  5. Quali vendor supportano meglio la transizione ai certificati SSL a 47 giorni?

    Soluzioni variano: Let's Encrypt per ACME gratuito, DigiCert/Sectigo e altre per gestione enterprise; la scelta dipende dall'inventario e dai vincoli operativi.

Introduzione I certificati SSL a 47 giorni stanno ridisegnando la gestione della sicurezza web: scadenze più brevi impongono automazione, nuove scelte [...] Evol Magazine