Modifiche primaverili nei certificati root/intermediate
08/apr/2026 | Jindřich Zechmeister
Nel corso dei mesi di aprile e maggio 2026, alcuni certificati root e intermedi selezionati all'interno dell'ecosistema Mozilla e DigiCert perderanno la loro validità. Questo articolo riassume le ragioni e le conseguenze pratiche di tali cambiamenti.
Nei prossimi due mesi ci saranno doppie operazioni di sfiducia per diversi certificati root e intermediate (ICA), che vengono revocati a causa della compatibilità con i programmi Mozilla Root e Chrome Root. Tuttavia, non c'è bisogno di preoccuparsi, per i nostri clienti questo non rappresenta alcuna complicazione.
Sfiducia Mozilla dei certificati root G1
Dal 15 aprile 2026 Mozilla non si fiderà più di diversi vecchi certificati root G1. Il motivo non è la loro compromissione, ma il fatto che questi certificati root G1 (prima generazione) erano multiuso. Erano utilizzati per emettere non solo certificati TLS per WebPKI, ma anche altri prodotti come la Firma di Documenti. Mozilla e Google vogliono che per WebPKI e i browser siano utilizzate gerarchie di certificati ICA separate e che non vengano combinati diversi tipi di prodotti.
In particolare, si tratta dei seguenti certificati root:
- DigiCert Assured ID Root CA
- DigiCert Global Root CA
- DigiCert High Assurance EV Root CA
Questi certificati root cesseranno di essere considerati affidabili nei prodotti Mozilla dal 15 aprile 2026 e DigiCert ha già smesso di utilizzarli per motivi di precauzione. I certificati emessi di recente non utilizzano più questi certificati root e i certificati esistenti saranno validi fino alla loro scadenza.
Cosa significa per i nostri clienti?
La maggior parte dei clienti non riscontrerà questo problema, poiché emette i propri certificati con un certificato root più recente (G2 o G3). La necessità di riemissione e sostituzione del root ha riguardato solo un piccolo gruppo di utenti che utilizzavano ancora i root sopra menzionati. Li abbiamo avvertiti individualmente e li abbiamo aiutati con la riemissione.
Revoche di maggio - Certificati ICA G3 e G5
Il 15 maggio 2026 DigiCert revocherà diversi certificati intermediate G2 e G3, ma non i certificati emessi da essi. Per mantenere l'affidabilità, dovrebbero essere rigenerati con nuovi intermedi. L'obiettivo dell'azione è quello di assegnare intermedi separati solo per l'emissione di certificati TLS.
ICA revocati al 15 maggio
Certificati ICA destinati all'emissione di certificati TLS:
- DigiCert Global CA G2
- DigiCert G2 SMIME RSA4096 SHA384 2024 CA1
Certificati ICA destinati a Code Signing:
- DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
- DigiCert Global G3 Code Signing ECC P256 SHA384 2021 CA1
- DigiCert Global G3 Code Signing Europe ECC P-384 SHA384 2023 CA1
Saranno revocati anche due root cross-signed G5 che, però, non erano comunemente utilizzati:
- G3 Cross Signed DigiCert TLS ECC P384 Root G5
- G3 Cross Signed DigiCert CS ECC P384 Root G5
Cosa significa per i nostri clienti?
In caso di questi cambiamenti, previsti per il 15 maggio, possiamo semplicemente affermare che l'impatto sui nostri clienti è assolutamente nullo e non è necessario fare alcuna riemissione.
Le nostre raccomandazioni per i clienti e gli sviluppatori
Consigliamo da tempo di non utilizzare il cosiddetto certificate pinning per applicazioni e altri progetti che utilizzano i certificati. L'affidabilità del certificato deve essere verificata rispetto al certificato root e le firme successive nella catena di certificazione (chain), qualsiasi controllo "rigido" delle CA emittenti è molto rischioso per il futuro. Si introdurrà nei progetti un meccanismo che renderà la vita complicata in seguito, poiché prima o poi gli ICA cambieranno.
I cambiamenti imminenti sono un esempio di ciò e in futuro tutte le CA vogliono ruotare più frequentemente i loro certificati ICA e creare gerarchie separate per diversi scopi d'uso. Inoltre, nei prossimi anni si modificherà l'algoritmo utilizzato con l'introduzione del PQC, e prima ancora con i certificati ibridi, quindi i cambiamenti in questa direzione sono inevitabili. Si consiglia di utilizzare meccanismi di controllo diversi dal "pinning delle CA", che non verranno compromessi da eventuali cambiamenti nei certificati intermediate.
Risorse e maggiori informazioni
- Aggiornamenti del certificato root e intermediate di DigiCert 2023
- DigiCert sta passando da gerarchie PKI multifunzione a gerarchie root TLS dedicate
Specialista per i certificati SSL di sicurezza
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
