Entro la fine del 2020 Safari inizierà a rifiutare i certificati https con scadenza superiore ai 13 mesi. Apple ha scelto di agire così per garantire un maggior controllo sulla sicurezza dei siti
Il browser di casa Apple, Safari, entro la fine del 2020 non accetterà più i certificati https che hanno più di 13 mesi dalla loro data di creazione. Ciò vuol dire che i certificati https, basati quindi sui più recenti standard di crittografia Tls e che assicurano una connessione sicura e protetta a un determinato sito, se avranno oltre 398 giorni di validità verranno rifiutati dal browser di Apple che identificherà come non sicuro il sito sul quale si sta navigando.
Tutti i siti internet che, come GitHub o Microsoft, utilizzano dei certificati Secure Sockets Layer (Ssl) o Transport Layer Security (Tls) di lunga durata, dopo il primo settembre 2020 genereranno degli errori di connessione nel browser di Apple.
Come ricorda TheNextWeb, prima del 2017 i certificati di sicurezza avevano validità superiore ai 5 anni, poi ridotta a 825 giorni. Ora Safari ha scelto di abbassare ulteriormente l’asticella a quota 398 giorni per garantire una maggior attenzione sulla crittografia dei dati presenti sul sito interessato.
Tale decisione, spiega The Register, è stata svelata il 19 febbraio durante l’annuale riunione del Certification Authority Browser Forum (Ca/Browser) con l’obiettivo di migliorare la sicurezza dei siti internet, assicurandosi così che ogni 13 mesi gli sviluppatori rinnovino i certificati aggiornati sugli ultimi standard crittografici.
Così facendo si otterrebbe una notevole riduzione dell’uso di certificati obsoleti che potrebbero essere facilmente elusi, rubati e riutilizzati per compiere attacchi tramite phishing o malware.
Se per gli sviluppatori ciò significa rinnovare ogni 13 mesi il certificato del sito internet, per gli utenti finali questo cambiamento si tradurrà in maggior sicurezza dei siti visitati e, nel caso di un certificato con scadenza superiore ai 398 giorni, di un rifiuto da parte del browser e di un’allerta privacy.
“I certificati emessi prima del primo settembre avranno la stessa durata di accettazione dei certificati attuali, ovvero 825 giorni”, afferma Tim Callan, membro sella società di gestione Ssl Sectigo a The Register. Al momento, aggiunge “non è richiesta alcuna azione per questi certificati”, poi le regole entreranno in vigore anche per loro.
Leggi anche