La validità dei certificati SSL sta cambiando, e il cambiamento è già iniziato. Il settore si sta allontanando dai certificati a lunga durata verso cicli di vita molto più brevi, imponendo un approccio diverso alla gestione di SSL/TLS.

Non si tratta di un aggiornamento secondario. La riduzione della validità SSL aumenta la frequenza con cui si emettono certificati, si validano i domini e si gestiscono i rinnovi. I processi che funzionavano su cicli annuali non reggono più con scadenze più ravvicinate.
Questo articolo spiega cosa è cambiato, perché il settore ha compiuto questa scelta e cosa significa in pratica. Scoprirai anche come affrontare questo cambiamento con strumenti specificamente progettati per la nuova era dell’automazione SSL.
Indice dei contenuti
- Cronologia della validità dei certificati SSL: cosa è cambiato
- Perché i cicli di vita dei certificati SSL si stanno accorciando
- Cosa significa in pratica una validità SSL più breve
- Cicli di vita più brevi stanno arrivando anche alla firma del codice
- Come prepararsi ai prossimi cambiamenti sulla validità SSL
Cronologia della validità dei certificati SSL: cosa è cambiato
Il CA/Browser Forum ha definito un calendario fisso che riduce il periodo di validità massimo per i certificati SSL/TLS.
- Fino al 14 marzo 2026: La validità massima era di ~398 giorni
- Dal 15 marzo 2026: La validità massima è di 200 giorni
- Dal 15 marzo 2027: La validità massima diventa 100 giorni
- Dal 15 marzo 2029: La validità massima diventa 47 giorni
Questi limiti si applicano a tutti i certificati emessi da Autorità di Certificazione (CA) pubbliche.
Anche i periodi di riutilizzo della validazione stanno cambiando
I periodi di riutilizzo della validazione definiscono per quanto tempo una CA può fare affidamento su una validazione del dominio precedentemente completata quando emette un nuovo certificato SSL. In termini semplici, la validità controlla per quanto tempo un certificato rimane attivo, mentre il riutilizzo della validazione controlla per quanto tempo la prova di proprietà del dominio rimane accettabile per l’emissione di nuovi certificati. Si tratta di due livelli distinti del processo.
In base alle nuove regole del CA/Browser Forum, i periodi di riutilizzo della validazione si riducono parallelamente alla durata dei certificati. Ciò significa che le CA devono verificare il controllo del dominio più frequentemente invece di fare affidamento su record di validazione precedenti. Entro il 2029, i periodi di riutilizzo scenderanno a soli 10 giorni, il che obbliga a effettuare la validazione quasi ogni volta che viene emesso un certificato.
- Dal 15 marzo 2026: Il riutilizzo della validazione è limitato a 200 giorni
- Dal 15 marzo 2027: Ridotto a 100 giorni
- Dal 15 marzo 2029: Ridotto a 10 giorni
È necessario rinnovare i certificati più spesso e rivalidare i domini con maggiore frequenza.
Perché i cicli di vita dei certificati SSL si stanno accorciando
Il settore sta limitando la validità SSL per riflettere la velocità con cui le cose cambiano nelle infrastrutture moderne. I certificati non rimangono più su server statici per anni. I domini si spostano tra provider, le configurazioni si aggiornano e la proprietà o il controllo possono cambiare molto più rapidamente di prima.
Allo stesso tempo, il web si affida ai certificati come fonte di fiducia. Se quella fiducia si basa su informazioni obsolete, diventa meno affidabile. Cicli di vita dei certificati più brevi e periodi di riutilizzo della validazione più ridotti mantengono i dati dei certificati più vicini alle condizioni reali, riducono il tempo di esposizione al rischio e spingono la gestione dei certificati verso processi più rapidi e controllati.
- I certificati sono un’istantanea nel tempo — I certificati SSL acquisiscono la proprietà del dominio, l’infrastruttura e i dettagli di contatto che erano accurati al momento dell’emissione, ma che possono cambiare nel tempo. Cicli di vita più brevi significano che le informazioni obsolete rimangono attendibili per meno tempo.
- I dati di validazione devono rimanere aggiornati — Le CA hanno bisogno di record aggiornati sulla proprietà del dominio per emettere certificati in modo accurato. Il riutilizzo di dati di validazione obsoleti aumenta il rischio di emettere certificati basati su informazioni non più veritiere, quindi controlli più frequenti mantengono il processo affidabile.
- Cicli di vita più brevi limitano l’esposizione alla sicurezza — Qualsiasi certificato emesso in modo errato o chiave privata compromessa può causare danni solo per il tempo in cui rimane valido. Cicli di rinnovo rapidi riducono quella finestra, limitando le conseguenze di incidenti che spesso è impossibile prevenire del tutto.
- La gestione manuale non è scalabile — Quando i certificati scadono ogni poche settimane o mesi, i processi di rinnovo manuali semplicemente non riescono a stare al passo. L’automazione smette di essere opzionale: diventa l’unico modo realistico per gestire il ciclo in modo coerente.

Cosa significa in pratica una validità SSL più breve
I nuovi intervalli di tempo per i certificati mettono in evidenza i punti deboli nel modo in cui i certificati vengono tracciati, emessi e distribuiti nell’infrastruttura reale.
I rinnovi diventano un carico operativo
Un singolo certificato richiedeva attenzione una volta all’anno. Ora quello stesso certificato richiederà interventi tre, sei o anche dieci volte nello stesso periodo.
Considera una configurazione tipica:
- un certificato sul dominio principale
- uno sull’API
- uno sull’ambiente di staging
- uno sui servizi interni
Sono già 4 o più certificati. Con cicli di vita più brevi, si avranno 20-40 eventi di rinnovo, ciascuno con fasi di emissione, validazione e distribuzione. È qui che i numeri iniziano a lavorare contro di te.
La validazione richiederà maggiore attenzione
Ecco come si presenterà un tipico rinnovo quando entreranno in vigore le nuove regole:
- Il rinnovo si avvia aspettandosi un’emissione automatica
- La CA richiede una nuova validazione del dominio
- I record di validazione DNS o HTTP devono essere aggiornati
- La pipeline di distribuzione si blocca fino al completamento della validazione
Moltiplicato per decine di domini e ambienti multipli, i rinnovi smettono di essere routine. Diventano imprevedibili, e in configurazioni basate su pipeline CI/CD, distribuzioni automatizzate o infrastructure-as-code, un singolo passaggio di validazione non automatizzato può bloccare tutto.
Il tracciamento manuale si rompe sotto la sovrapposizione
Fogli di calcolo, promemoria sul calendario e processi temporanei diventano sempre più difficili da mantenere man mano che la frequenza dei rinnovi aumenta.
Esempio:
- Il certificato A scade tra 60 giorni
- Il certificato B scade tra 45 giorni
- Il certificato C scade tra 30 giorni
Ora ripeti questo per decine di certificati. I promemoria si accumulano. Le scadenze si sovrappongono. E, prima che te ne accorga, inizi a reagire invece di gestire. Quando molti eventi competono contemporaneamente, è molto probabile perdere una scadenza di certificato.
I certificati iniziano a sfuggire al controllo
La maggior parte dei team sottovaluta quanti certificati gestisce effettivamente. Un ambiente reale spesso include:
- Certificato CDN (edge)
- Certificato del load balancer
- Certificato del server di origine
- Certificati dei servizi interni
- Integrazioni di terze parti
Ognuno ha il proprio ciclo di vita. Senza discovery o inventario, si perde visibilità. Questo porta a un pattern di errore comune:
- “Il sito principale funziona, ma l’API genera errori SSL”.
- “Il frontend va bene, il certificato del backend è scaduto”.
Le lacune nella distribuzione creano una falsa sicurezza
Un certificato può essere emesso con successo e non raggiungere mai il posto giusto. Uno script di distribuzione viene eseguito parzialmente, il load balancer si aggiorna ma il server di origine no, e improvvisamente l’esperienza diventa incoerente. Alcuni utenti si connettono senza problemi mentre altri incontrano errori di certificato. Questi errori sono tra i più difficili da diagnosticare perché non si manifestano in modo uniforme.
Oltre una certa scala, la gestione dei certificati smette di rientrare in una checklist. Richiede un inventario per tracciare ciò che esiste, un monitoraggio per individuare ciò che sta per scadere, l’automazione per gestire i rinnovi e una distribuzione affidabile per garantire che i certificati raggiungano i posti giusti.
Save 10% on SSL Certificates when ordering from SSL Dragon today!
Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10
Cicli di vita più brevi stanno arrivando anche alla firma del codice
I certificati di firma del codice si stanno muovendo nella stessa direzione di SSL: periodi di validità più brevi e controlli più severi su come le chiavi private vengono archiviate e gestite.
DigiCert e GoGetSSL ora emettono certificati di firma del codice solo per un anno, con i clienti che utilizzano il proprio modulo di sicurezza hardware o ordinano un token fisico.
Sectigo segue un modello simile: un anno se si utilizza un token, ma opzioni di uno, due o tre anni diventano disponibili se si gestiscono le chiavi tramite il proprio HSM, come un YubiKey.
Il modello è coerente: la validità più lunga è direttamente legata a un controllo più rigoroso delle chiavi. Quanto più severi sono i requisiti di archiviazione, tanto maggiore flessibilità ottiene il cliente sulla durata del termine. Riflette la stessa logica che guida i cambiamenti SSL. Cicli di vita più brevi e una migliore gestione delle chiavi riducono la finestra di esposizione e rafforzano la fiducia nel software firmato in generale.
Come prepararsi ai prossimi cambiamenti sulla validità SSL
Una validità dei certificati più breve richiede processi strutturati. L’approccio giusto dipende dalla scala e dalla complessità.
ACME: ideale per l’automazione continua
ACME (Automated Certificate Management Environment) è un protocollo standardizzato che consente a server e applicazioni di richiedere, validare, emettere e rinnovare automaticamente i certificati SSL/TLS. Invece di affidarsi a passaggi manuali come la generazione di CSR, approvazioni via email o caricamenti di file, i sistemi interagiscono direttamente con una CA tramite flussi di lavoro basati su API.
In pratica, i certificati ACME gestiscono l’intero ciclo di vita. Dimostrano il controllo del dominio tramite challenge HTTP o DNS, recuperano il certificato, lo installano e lo rinnovano prima della scadenza senza intervento umano.
Si adatta meglio agli ambienti in cui:
- l’infrastruttura cambia frequentemente (cloud, container, microservizi)
- le distribuzioni vengono eseguite tramite pipeline CI/CD
- più domini o servizi richiedono aggiornamenti continui dei certificati
RapidSSL AutoInstall: automazione semplificata per configurazioni server standard
AutoInstall SSL semplifica la gestione dei certificati negli ambienti basati su server. Invece di richiedere caricamenti manuali, modifiche alla configurazione e ripetuti passaggi di installazione, si integra direttamente con i pannelli di hosting per gestire la distribuzione automaticamente.
In pratica, funziona all’interno di piattaforme come cPanel, Plesk e pannelli di hosting simili dove i certificati vengono gestiti a livello di server. Una volta configurato, può gestire l’emissione e il rinnovo garantendo che i certificati siano correttamente installati e applicati senza intervento manuale ad ogni ciclo.
Si adatta meglio alle configurazioni in cui:
- i server si affidano a pannelli di controllo o stack di hosting gestiti
- la gestione dei certificati avviene a livello di server piuttosto che tramite infrastrutture personalizzate
- i team vogliono ridurre il lavoro di configurazione ripetitivo senza ricostruire il proprio flusso di lavoro attorno all’automazione basata su API.
DigiCert CertCentral TLS Manager: ideale per team in crescita
CertCentral TLS Manager è una piattaforma centralizzata per la gestione dell’intero ciclo di vita dei certificati SSL all’interno di un’organizzazione. Fornisce un’unica interfaccia per emettere, tracciare, rinnovare e sostituire i certificati da un unico posto.
È possibile monitorare le date di scadenza, rilevare i certificati già distribuiti nell’infrastruttura e gestire i rinnovi. Supporta inoltre l’automazione tramite API e integrazioni ACME, consentendo l’emissione e il rinnovo dei certificati senza intervento manuale, mantenendo al contempo un controllo centralizzato.
Si adatta meglio agli ambienti in cui:
- più team o sistemi richiedono e gestiscono certificati
- l’inventario dei certificati non è più completamente visibile
- i cicli di rinnovo iniziano a sovrapporsi tra servizi diversi
- il tracciamento centralizzato e il controllo delle policy diventano necessari
CertCentral non sostituisce l’automazione a livello di infrastruttura come ACME. Aggiunge invece un livello di controllo sopra di essa.
DigiCert Trust Lifecycle Manager: ideale per la scala enterprise
Trust Lifecycle Manager estende la gestione dei certificati oltre SSL/TLS pubblico e la trasforma in un sistema unificato per la gestione della fiducia nell’intera organizzazione. Invece di gestire i certificati in strumenti isolati, riunisce certificati pubblici, PKI privata e identità interne in un unico framework controllato.
Si integra inoltre con l’infrastruttura enterprise come sistemi di identità, piattaforme cloud e pipeline DevOps, in modo che le operazioni sui certificati diventino parte dei flussi di lavoro esistenti piuttosto che un processo separato.
Si adatta meglio agli ambienti in cui:
- l’utilizzo dei certificati si estende a sistemi pubblici e privati
- più team o dipartimenti gestiscono i propri certificati
- l’infrastruttura include configurazioni cloud, on-premise e ibride
- governance, conformità e requisiti di audit sono rilevanti
A questa scala, la sfida non riguarda solo il rinnovo, ma la visibilità, il controllo e la coerenza su centinaia o migliaia di certificati.
Considerazioni finali
L’era del “configura e dimentica” per la sicurezza web è ufficialmente finita. Ci stiamo allontanando dai certificati che durano anni verso un mondo in cui scadono in poche settimane.
Il conto alla rovescia è già iniziato. Le aziende che cercano ancora di gestire questi aggiornamenti manualmente sentiranno la pressione man mano che le scadenze si accumulano. D’altro canto, i team che adottano un approccio di lavoro più fluido e automatizzato noteranno a malapena il cambiamento. Cicli di vita più brevi sono la nuova realtà, e l’unica strada da percorrere è smettere di reagire e iniziare a ottimizzare.
SSL Dragon offre soluzioni di automazione adatte a ogni configurazione, dagli ambienti server semplici alle infrastrutture complesse su larga scala. Che tu abbia bisogno di automazione basata sul protocollo ACME, di una distribuzione semplificata o di una gestione completa del ciclo di vita, puoi scegliere l’approccio più adatto alle tue esigenze e mantenere i tuoi certificati sotto controllo mentre i cicli di rinnovo si accelerano.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10






