Certificati SSL Symantec invalidi a partire da Aprile 2018

  • certificati ssl invalidi

Chiunque gestisca un sito web professionale, conosce l’importanza di avere un certificato SSL per il proprio dominio. Oltre a garantire sicurezza nel trasferimento dei dati, questo fornisce anche più sicurezza nell’utente che usa il sito ed un ranking Google migliore.

Cos’è successo?

Il 19 gennaio 2017, un post nel newsgroup mozilla.dev.security.policy mostrava come alcuni certificati rilasciati da Symantec e da altri gruppi indipendenti che operavano per Symantec, sempre per il rilascio di certificati, fossero stati rilasciati in modo erroneo o con informazioni errate. Questo, insieme ad altre serie di problemi relative ai certificati Symantec, ha fatto sì che Google decidesse di non riconoscere più la validità dei certificati Symantec rilasciati prima di Giugno 2016. Non sarà più riconosciuta la validità neanche dei certificati rilasciati dai brand di Symantec, ovvero: Thawte, RapidSSL, VeriSign e GeoTrust. Ovviamente è stato strutturato un piano di adeguamento, per permettere ai possessori di questi certificati di rinnovarli o di sostituirli con certificati accettati da Google.

Pianificazione

  • 24 ottobre 2017 – Rilascio di Chrome 62. Aggiunto warning nella Console di DevTols (accessibile premendo F12) di Chrome
  • 17 Aprile 2018 – Rilascio di Chrome 66 che rimuoverà la fiducia nei certificati Symantec, mostrando un errore relativo al certificato agli utenti
  • 23 Ottobre 2018 – Rilascio di Chrome 70 che mostrerà un errore relativo al certificato agli utenti che visitano il sito, impedendo l’accesso al sito.

Come faccio a sapere se il mio Certificato SSL è ancora valido?

Vai sul tuo sito utilizzando Google Chrome e premi il tasto F12 sulla tastiera, nella finestra che si aprirà clicca su Console. Se vedi una notifica come questa, allora il tuo certificato va aggiornato:

Cosa devo fare in caso di certificato ssl non valido?

In caso di warning, Symantec ha istituito una sequenza di azioni da seguire, illustrata in questa pagina.

In breve, puoi richiedere il rinnovo o la sostituizione del certificato all’ente da cui lo hai registrato. Se invece sei nell’arco dei 90 giorni di tempo per il rinnovo del certificato, basterà rinnovare il certificato per acquisirne uno valido. Questo perché tutta l’infrastruttura Symantec per il rilascio dei certificati è stata acquisita da Digicert, che da ora in poi garantirà il corretto rilascio dei certificati.

In conclusione

Se hai un certificato SSL rilasciato da Symantec, Thawte, RapidSSL, VeriSign o GeoTrust prima di giugno 2016, dovrai farlo sostituire o rinnovare per non avere problemi di autenticazione sul sito nel recente futuro.

Se hai domande a riguardo, faccelo sapere nei commenti o sui social.