Il mondo della crittografia, così come lo conosciamo, subirà nei prossimi anni alcuni importanti cambiamenti strutturali. Questi si svilupperanno su due fronti principali: la riduzione della validità dei certificati e l’ormai improrogabile transizione alla crittografia post-quantistica (PQC).

Riduzione della Validità dei Certificati

Il primo fronte riguarda la riduzione della validità massima dei certificati emessi dalle Certification Authority (CA), secondo la seguente roadmap stabilita dal CA/Browser Forum, che raggruppa le CA a livello globale:

  • Fino al 15 marzo 2026, la durata massima per un certificato TLS è di 398 giorni.
  • A partire dal 15 marzo 2026, la durata massima scenderà a 200 giorni.
  • Dal 15 marzo 2027, la validità sarà ulteriormente ridotta a 100 giorni.
  • Infine, dal 15 marzo 2029, la durata massima sarà di soli 47 giorni.

Crittografia Post-Quantistica (PQC)

L’altro fronte caldo è la crittografia post-quantistica. Di cosa si tratta? Gli algoritmi crittografici attualmente in uso hanno un difetto fondamentale: possono essere facilmente violati dai computer quantistici.

Il cosiddetto Q-Day, ovvero il giorno in cui i computer quantistici saranno in grado di rompere gli attuali standard crittografici, è stimato tra 8 e 15 anni. Questa data è destinata ad avvicinarsi sempre di più con l’avanzare della tecnologia nel settore del Quantum Computing.

Quando iniziare la transizione?

La risposta è: ora. Attualmente ci troviamo nella fase “Harvest now, Decrypt later” (Raccogli ora, decifra dopo). Ciò significa che tutti i dati crittografati esfiltrati oggi possono essere conservati fino a quando un computer quantistico non sarà in grado di violarne la chiave di cifratura.

Se il dato crittografato ha una vita utile breve, il rischio è limitato. Se, invece, contiene informazioni sensibili che, una volta divulgate, potrebbero compromettere infrastrutture, persone o aziende, allora il problema è serio.

Obiettivi e Sfide Future

Lo scopo di entrambi i cambiamenti è garantire una maggiore sicurezza dei dati, sia in transito che a riposo. La riduzione della validità temporale dei certificati concede meno tempo agli attaccanti per predisporre attacchi Man-in-the-Middle. La PQC, invece, ci consente di proteggere fin da ora i nostri dati in vista di un futuro Q-Day, rendendo inefficace la tecnica “Harvest now, Decrypt later”.

Queste evoluzioni introducono però una notevole sfida amministrativa per la gestione delle nostre infrastrutture a chiave pubblica (PKI). Rinnovare i certificati ogni 47 giorni e gestire la transizione alla PQC può diventare un’attività onerosa. È quindi fondamentale che le aziende inizino a pianificare l’implementazione di sistemi di Certificate Lifecycle Management (CLM). Questi strumenti, tramite workflow automatizzati, si occupano del rinnovo e dell’installazione dei certificati TLS/SSL.

Per chi volesse esplorare soluzioni in questo ambito, consiglio di valutare progetti open source come OpenXPKI ed EJBCA.