Nuove competenze sono necessarie per essere aggiornati in tema di certificati digitali, veri pilastri della sicurezza in Internet. La proposta GARR

di Barbara Monticini, Mario Di Lorenzo, Davide Vaghetti
GARR Certification Service

I certificati digitali X.509 sono uno dei pilastri della sicurezza in Internet. Senza i certificati digitali non avremmo siti web sicuri (SSL/HTTPS), e quindi e-commerce, home banking, PA digitale, ecc, non avremmo email cifrate e firmate digitalmente (S/MIME), firma digitale dei documenti, firma del software, ecc, ecc. I certificati X.509 hanno principalmente due contenuti: la chiave pubblica che permette le operazioni di verifica, firma e decifrazione e una serie di dati che ci dicono chi ha emesso il certificato, per chi, con quali scopi, con che validatà temporale, ecc. Inoltre, l’emittente firma digitalmente il certificato, creando una catena gerarchica tramite la quale è possibile risalire all’emittente sorgente (detto trust anchor o root certification authority), anche in presenza di diversi intermediari.

Il meccanismo di fiducia dei certificati X.509 si basa sul riconoscimento del root certificate, infatti se quest’ultimo fa parte dei root certificate delle Certification Authorities riconosciute dal nostro sistema e dal nostro browser, allora la fiducia è stabilita. In caso contrario, ci verrà segnalato un problema e non potremo continuare ad esempio nell’accedere ad un determinato sito web.

Vista l’importanza dei certificati X.509, GARR e GÉANT hanno da anni sviluppato servizi di gestione e erogazione dei certificati digitali per la comunità della ricerca e dell’istruzione, la cui ultima incarnazione è il Trusted Certificate Service (TCS), che è basata su una delle maggiori Certifcation Authority commerciali, Sectigo Limited, e permette a tutta la comunità GARR di emettere certificati X.509 SSL, S/MIME e per l’accesso alle risorse Grid.

Regole e standard

L’emissione e la gestione dei certificati sono regolate dai Baseline Requirements definiti dal Certificate Authorities/Browsers Forum (CA/B Forum), un’associazione americana composta da grandi certification authorities (Sectigo, Digicert, Let’s Encrypt, ecc.) e dai maggiori produttori di browser (Google, Apple, Microsoft, Mozilla, ecc.) che rappresenta di fatto l’organo di standardizzazione del settore.

Le decisioni del CA/B Forum si estrinsecano in nuove versioni dei Baseline Requirements, e negli ultimi anni ci sono state una serie di novità. In particolare, nel 2020, sotto la spinta dei browser e di Apple nello specifico, si è imposto uno nuovo standard di fatto per la durata dei certificati SSL, che sono passati da tre anni ad uno. Sono state anche introdotte regole più rigide sulla validità dei certificati, che in alcuni casi hanno portato a revoche di massa mettendo in seria difficoltà gli utilizzatori come gli enti connessi a GARR ed in generale le reti della ricerca europee (NREN).

Nel 2021 la General Assembly di GÉANT ha espresso un position paper in cui manifesta la propria preoccupazione per il fatto che il settore sia completamente in mani americane, senza che gli europei possano influenzare in alcun modo decisioni che hanno enormi conseguenze sugli utenti di tutto il mondo. Il position paper termina chiedendo alla Commissione Europea un confronto che possa portare a ribilanciare il settore includendo gli interessi europei.

In questi anni, inoltre, sono cambiate le regole di validazione delle organizzazioni che intendono emettere certificati di tipo Organization Validated, introducendo regole più stringenti per l’identificazione certa delle organizzazioni. L’ultima di queste nuove regole di validazione, che risale ad agosto del 2023, ha imposto a tutti gli enti GARR che sottoscrivono il servizio l’indicazione di un legal identifier riconosciuto a livello internazionale secondo lo standard elaborato dall’European Telecommunications Standard Institute (ETSI). Questo cambiamento ha avuto un impatto particolarmente elevato sulla nostra comunità, dato che si tratta di un requisito necessario per l’emissione dei certificati di tipo S/MIME, largamente utilizzati per la sicurezza della posta elettronica.

Certificati a breve scadenza

Nel marzo del 2023, Google ha proposto che tutti i certificati X.509 abbiano una scadenza più breve. In particolare la proposta si diversifica per tipo di certificato: i root certificati, quelle della CA, dovrebbero passare dagli attuali 25 anni a 7, gli intermedi a 3 anni (oggi non c’è un massimo), mentre i certificati finali passerebbero da un anno a soli tre mesi.

La ratio di questa proposta è che un tempo di vita molto breve dei certificati semplificherebbe i meccanismi di revoca, dato che con un minore tempo di esposizione ci sarebbero meno revoche, ed imporrebbe l’utilizzo dell’Automatic Certificate Management Environment (ACME) per la gestione automatica dei certificati, eliminando quindi le operazioni di emissione manuali da sempre foriere di errori. Per ora non è chiaro quando questa proposta andrà in votazione al CA/B Forum, ma ci sono pochi dubbi sul fatto che sia solo una questione di tempo, del resto una delle CA più note al mondo, Let’s Encrypt, utilizza da sempre la scadenza di tre mesi per i propri certificati.

Per supportare la comunità con questo importante cambiamento e per diffondere le buone pratiche dell’automazione nella gestione dei certificati, GARR ha organizzato un corso di formazione su ACME per tutti i Registration Authority Officers degli enti che hanno sottoscritto il servizio TCS. Il corso viene ripetuto con cadenza bimestrale per permettere a tutti di partecipare. Gli annunci del corso sono inviati regolarmente sulla lista dei RAO GARR.