15 Marzo 2024

Modifiche imminenti alla catena di certificati Let’s Encrypt e relativo impatto per i clienti Cloudflare

Let’s Encrypt cambia catena di certificati: impatto e azioni per gli utenti Cloudflare su dispositivi legacy non compatibili.

Let’s Encrypt, un’autorità di certificazione (CA) di fiducia pubblica utilizzata da Cloudflare per emettere certificati TLS, si è affidata a due catene di certificati distinte. Una era cross-firmata con IdenTrust, un CA di fiducia globale presente dal 2000, e l’altra era la propria root CA di Let’s Encrypt, ISRG Root X1. Dal lancio di Let’s Encrypt, ISRG Root X1 ha ottenuto progressivamente una maggiore compatibilità con i dispositivi.

Il 30 settembre 2024, la catena di certificati di Let’s Encrypt cross-firmata con IdenTrust scadrà. Per prepararsi proattivamente a questo cambiamento, il 15 maggio 2024, Cloudflare cesserà di emettere certificati dalla catena cross-firmata e utilizzerà invece la catena ISRG Root X1 di Let’s Encrypt per tutti i futuri certificati.

Il cambiamento nella catena di certificati influenzerà i dispositivi e i sistemi legacy, come i dispositivi Android nella versione 7.1.1 o precedenti, poiché questi si affidano esclusivamente alla catena cross-firmata e non hanno la root ISRG X1 nel loro trust store. Questi clienti potrebbero incontrare errori o avvisi TLS quando accedono a domini protetti da un certificato di Let’s Encrypt.

Secondo Let’s Encrypt, più del 93,9% dei dispositivi Android si fida già di ISRG Root X1 e si prevede che questo numero aumenterà nel 2024, specialmente con il rilascio della versione 14 di Android, che rende il trust store di Android facilmente e automaticamente aggiornabile.

Dall’analisi dei dati, abbiamo scoperto che, di tutte le richieste Android, il 2,96% proviene da dispositivi che saranno influenzati dal cambiamento. Inoltre, solo l’1,13% di tutte le richieste da Firefox proviene da versioni interessate, il che significa che la maggior parte (98,87%) delle richieste provenienti da versioni Android che utilizzano Firefox non sarà impattata.

Preparazione al cambiamento

Se sei preoccupato che il cambiamento possa influenzare i tuoi clienti, ci sono alcune cose che puoi fare per ridurre l’impatto del cambiamento. Se controlli i clienti che si connettono alla tua applicazione, raccomandiamo di aggiornare il trust store per includere ISRG Root X1. Se utilizzi il pinning dei certificati, rimuovi o aggiorna il tuo pin. In generale, scoraggiamo tutti i clienti dal fare pinning dei loro certificati, poiché ciò porta solitamente a problemi durante i rinnovi dei certificati o i cambiamenti di CA.

Il pinning dei certificati, noto anche come HTTP Public Key Pinning (HPKP), è una tecnica di sicurezza che permette ai siti web di associare specifici certificati o chiavi pubbliche al loro dominio, prevenendo così gli attacchi di tipo man-in-the-middle causati da certificati fraudolenti. Questo processo consente ai clienti di verificare se il certificato presentato dal server durante una connessione TLS/SSL è effettivamente tra quelli che il proprietario del sito ha designato come fidati. Se il certificato o la chiave pubblica non corrispondono a quelli “pinnati”, la connessione viene rifiutata, aumentando la sicurezza contro le compromissioni delle autorità di certificazione o l’emissione impropria di certificati.

Anche se questo cambiamento influenzerà una piccola parte dei clienti, supportiamo la transizione che Let’s Encrypt sta facendo poiché supporta un Internet più sicuro e agile.

Abbracciare il cambiamento per muoversi verso una Internet migliore

Guardando al passato, ci sono state numerose sfide che hanno rallentato l’adozione di nuove tecnologie e standard che hanno contribuito a rendere Internet più veloce, sicuro e affidabile.

Prima del lancio di Universal SSL da parte di Cloudflare, i certificati gratuiti non erano disponibili. Invece, i proprietari di domini dovevano pagare circa 100 dollari per ottenere un certificato TLS. Per una piccola impresa, questo è un costo significativo e senza l’applicazione del TLS da parte dei browser, ciò ha significativamente ostacolato l’adozione del TLS per anni. Gli algoritmi insicuri hanno impiegato decenni per essere deprecati a causa della mancanza di supporto per nuovi algoritmi nei browser o nei dispositivi. Abbiamo imparato questa lezione deprecando SHA-1.

Supportare nuovi standard di sicurezza e protocolli è vitale per continuare a migliorare Internet. Nel corso degli anni, sono stati fatti grandi e talvolta rischiosi cambiamenti per permetterci di andare avanti. Il lancio di Let’s Encrypt nel 2015 è stato monumentale. Let’s Encrypt ha permesso a ogni dominio di ottenere un certificato TLS gratuitamente, aprendo la strada a un Internet più sicuro, con ora circa il 98% del traffico che utilizza HTTPS.

Nel 2014, Cloudflare ha lanciato il supporto all’algoritmo di firma digitale a curva ellittica (ECDSA) per i certificati emessi da Cloudflare e ha deciso di emettere certificati solo ECDSA ai clienti gratuiti. Ciò ha incrementato l’adozione di ECDSA premendo clienti e operatori web a fare cambiamenti per supportare il nuovo algoritmo, che forniva la stessa (se non migliore) sicurezza di RSA migliorando anche le prestazioni. In aggiunta, i moderni browser e sistemi operativi sono ora costruiti in modo da supportare costantemente nuovi standard, in modo da poter deprecare i vecchi.

Per andare avanti nel supportare nuovi standard e protocolli, dobbiamo rendere l’ecosistema di Public Key Infrastructure (PKI) più agile. Ritirando la catena cross-firmata, Let’s Encrypt sta spingendo dispositivi, browser e clienti a supportare trust store adattabili. Ciò permette ai clienti di supportare nuovi standard senza causare un cambiamento radicale. Pone anche le basi affinché emergano nuove autorità di certificazione.

Oggi, uno dei motivi principali per cui il numero di CA disponibili è limitato è che ci vogliono anni perché diventino ampiamente fidate, ovvero senza il cross-firming con un’altra CA. Nel 2017, Google ha lanciato una nuova CA di fiducia pubblica, Google Trust Services, che ha emesso certificati TLS gratuiti. Anche se sono stati lanciati alcuni anni dopo Let’s Encrypt, hanno affrontato le stesse sfide relative alla compatibilità dei dispositivi e all’adozione, che li ha portati a cross-firmare con la CA di GlobalSign. Speriamo che, al momento della scadenza della CA di GlobalSign, quasi tutto il traffico provenga da un client e browser moderno, il che significa che l’impatto del cambiamento dovrebbe essere minimo.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Facebook, Inc. detiene i diritti su Facebook®; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Questo sito non è affiliato, sponsorizzato, o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello Europeo da MANAGED SERVER SRL Via Enzo Ferrari, 9 62012 Civitanova Marche (MC) Italia.

Torna in alto