Perché i certificati TLS a 47 giorni sono un rischio vicino
Il monitoraggio in tempo reale consente di anticipare scadenze e anomalie, trasformando la gestione delle identità macchina in un fattore di resilienza aziendale e non in un problema ricorrente da rincorrere.
I certificati TLS stanno per ridurre drasticamente la loro validità: la riflessione di Kevin Bocek spiega perché questo cambiamento può avere effetti critici.
I certificati TLS stanno entrando in una fase critica, con una riduzione progressiva della loro validità che sta creando una pressione crescente sulle aziende. La scadenza imposta da Microsoft, Google e Apple — massimo 47 giorni entro il 2029 — non è una semplice raccomandazione, ma un requisito rigido del CA/Browser Forum. Questo cambiamento, unito alla progressiva transizione dai 398 giorni attuali ai 200 nel 2026 e 100 nel 2027, sta generando una sfida operativa che molte organizzazioni non sono pronte ad affrontare.
L’impatto immediato delle nuove scadenze dei certificati
Dati recenti mostrano che l’83% delle aziende ha già subito un’interruzione legata a un certificato negli ultimi due anni. Persino grandi piattaforme hanno registrato down di ore a causa di un certificato TLS scaduto. Il risultato è un effetto domino: disservizi prolungati, perdita di fiducia e danni economici significativi.
Nel settore manifatturiero, migliaia di dispositivi e gateway IIoT dipendono da certificati con cicli di vita che diventano sempre più difficili da mantenere. Ogni minuto di fermo macchina può costare decine di migliaia di euro, con impatti che si estendono alla supply chain.
Identità macchina e crescita incontrollabile
Il nodo centrale è spesso sottovalutato: ogni applicazione, API, workload o processo autonomo crea una identità macchina, ossia un certificato, una chiave o un secret che permette comunicazioni sicure.
Nei moderni ambienti ibridi e multicloud, queste identità si moltiplicano senza controllo. Le organizzazioni si trovano a gestire decine di migliaia di credenziali, spesso senza strumenti adeguati e con scarsa visibilità.
La diffusione degli agenti AI accentua ulteriormente il problema: ogni processo autonomo richiede propri meccanismi di autenticazione, creando un ecosistema estremamente complesso.
Una crisi annunciata: quando l’invisibile diventa critico
Le identità macchina superano ormai quelle umane 82 a 1 (85:1 in Italia). Questo squilibrio si combina con tre fattori chiave:
Volume incontrollabile, con milioni di credenziali distribuite tra cloud e applicazioni.
Riduzione estrema della validità, che rende impossibile gestire manualmente i cicli dei certificati TLS.
Ambienti altamente complessi, con standard in continua evoluzione e responsabilità frammentate.
Quando scade un certificato, le conseguenze possono essere enormi: API bloccate, servizi digitali offline, siti irraggiungibili, esposizioni di dati e violazioni di norme come GDPR o PCI DSS. Gli attaccanti sfruttano proprio i punti ciechi generati da identità macchina non monitorate.
Come prepararsi: prevenire prima che esploda la crisi
Le aziende più mature non trattano più la gestione delle identità macchina come manutenzione tecnica, ma come un pilastro strategico.
Con l’arrivo del limite dei 47 giorni, adottare un approccio proattivo non è più una scelta, ma un obbligo. I due elementi chiave sono:
Governance chiara, con policy definite, responsabilità esplicite e processi centralizzati.
Automazione avanzata, tramite protocolli come ACME, workflow API e strumenti che gestiscono l’intero ciclo di vita dei certificati.
Il monitoraggio in tempo reale consente di anticipare scadenze e anomalie, trasformando la gestione delle identità macchina in un fattore di resilienza aziendale e non in un problema ricorrente da rincorrere.
