/https://www.html.it/app/uploads/2017/06/Safari_logo_logotype-1.jpg "Safari: stop ai certificati HTTPS con durata superiore ai 13 mesi"){kind=logo}
A partire dal 1° settembre 2020 il browser Safari non accetterà più certificati HTTPS con una durata superiore ai 13 mesi. Questo significa che i siti web che utilizzano dei certificati SSL/TLS a lungo termine verranno etichettati come insicuri dal browser e dai device dell'azienda di Cupertino.
La notizia sembra essere stata diramata in forma ufficiosa durante un meeting del Certification Authority Browser Forum, ente nel quale si riuniscono varie autorità di certificazione, che ha avuto luogo mercoledì 19. Apple infatti non ha ancora rilasciato comunicati ufficiali in merito.
Il team guidato da Tim Cook sembra essere deciso ad applicare tale policy in tutto il suo ecosistema. L'obbiettivo della compagnia californiana sembrerebbe essere quello di forzare gli amministratori dei siti web ad uniformarsi alle proprie direttive senza concedere proroghe di nessun tipo.
Con questa mossa di Apple potrebbe contribuire notevolmente al miglioramento della sicurezza dei vari servizi web. I certificati SSL/TLS a lungo termine, infatti, sono spesso oggetto di attività malevole e non di rado vengono impiegati all'interno dei siti appositamente confezionati per il phishing.
Ad tal proposito, nelle scorse ore il portavoce di Digicert Dean Coclin si è dichiarato a favore di tale decisione:
I certificati di breve durata migliorano la sicurezza perché riducono il periodo di esposizione, in caso di compromissione, del certificato TLS. Inoltre questa soluzione permette anche di rimediare al normale abbandono operativo dei certificati all'interno delle aziende, contribuendo a mantenere in vita solo certificati appartenenti a compagnie ancora in attività.
Tuttavia la nuova policy è stata accolta anche con diverse critiche da parte della community. Accorciare il ciclo di vita dei certificati SSL/TLS renderà infatti più complicata la vita a moltissime aziende. Importanti progetti come Github utilizzano certificati della durata di 24 mesi.
Secondo Tim Callan, SSL management di Sectigo recentemente intervistato dalla redazione di The Register, per le web agency diventerà essenziale dotarsi di servizi e tool di automazione per gestire le operazioni dei certificati:
A suo parere le compagnie avranno bisogno di automatizzare i processi di rinnovo, certificate deployment e lifecycle management dei certificati SSL/TLS in modo da ridurre il rischio di errore umano ed il carico di lavoro dei web developer.
Già oggi esistono numerose soluzioni a basso costo per automatizzare tali procedure. Ad esempio Let's Encrypt, nota Certificate authority, offre dei certificati HTTPS gratuiti che scadono dopo 90 giorni e che possono essere rinnovati in modo automatico.
Via TheRegister
/https://www.html.it/app/uploads/2024/11/truffe-qr-code-.jpg)
/https://www.html.it/app/uploads/2024/11/IPTV_______.jpg)
/https://www.html.it/app/uploads/2024/11/t-mobile-.jpg)
/https://www.html.it/app/uploads/2024/11/cybersecurity-ai.jpg)