Obbligatoria la registrazione in Certificate Transparency per tutti i nuovi certificati TLS
05/giu/2026 | Petra Alm
A partire dal 1° giugno 2026, DigiCert registrerà tutti i nuovi certificati TLS pubblici emessi, comprese le loro riemissioni (reissue), nei registri di Certificate Transparency. La nuova misura riguarda tutti i certificati emessi dalla CA DigiCert, indipendentemente dal tipo di convalida (DV, OV, EV, QWAC, PSD2) o dal marchio (DigiCert®, GeoTrust®, Thawte®, RapidSSL®). In questo articolo scoprirete il motivo di questo cambiamento e cosa comporta per voi.
Perché la registrazione è ora obbligatoria?
Anche in questo caso, possiamo cercare la nuova misura dietro alla società Google e al suo browser Chrome. Esige che entro il 15 giugno 2026, tutte le autorità di certificazione comincino a registrare tutti i certificati TLS in almeno un protocollo Certificate Transparency. Naturalmente, con l'obiettivo di una maggiore trasparenza dei certificati e il rafforzamento della sicurezza internet.
Per un promemoria, menzioniamo che i protocolli CT creano registri pubblicamente verificabili sull'emissione di certificati da parte di tutte le autorità di certificazione, consentendo in modo più efficace ai proprietari di domini e ai browser di rilevare certificati abusati o imitati e quindi prevenire attacchi man-in-the-middle. Guardando alla storia, sono passati più di dieci anni da quando Google ha iniziato a richiedere la registrazione per i certificati con Extended Validation (EV). Successivamente, questa richiesta è stata estesa anche ai certificati con Organization Validation (OV) e Domain Validation (DV).
Finora, la registrazione nel protocollo CT era richiesta solo se il certificato era destinato all'uso in un client pubblico. I certificati senza il log CT funzionavano nei browser, ma visualizzavano un avviso di inaffidabilità. Dal 1 giugno 2026, tuttavia, tutti i certificati TLS pubblici devono disporre di una registrazione CT, indipendentemente dall'uso previsto.
Come vi influenzerà il cambiamento?
DigiCert registra per voi tutti i certificati TLS pubblici che emette nei protocolli CT, e quindi non è necessaria alcuna azione da parte vostra. Il cambiamento non influisce nemmeno sui certificati TLS già emessi, che erano mantenuti al di fuori dei protocolli CT fino al 1 giugno 2026.
La nuova registrazione CT forzata vi influenzerà solo se lavorate con certificati interni destinati all'uso privato al di fuori degli ambienti dei browser web e che questi certificati di nuova emissione (cioè con data di emissione dal 1 giugno 2026) devono essere mantenuti al di fuori dei registri CT pubblici anche dopo il 1 giugno 2026. La soluzione è un'infrastruttura PKI privata DigiCert One, che non richiede fiducia nei browser e pertanto non è soggetta alla nuova richiesta di Chrome. Tuttavia, tieni presente che una PKI è appropriata solo per i certificati che non richiederanno mai la fiducia degli utenti esterni, partner o client internet pubblici.
