bg-blog-articles

Perché la sfida dei certificati post-quantum è più grande della semplice riduzione della validità

Il settore SSL ha già un conto alla rovescia sul muro. Entro il 2029, il vecchio ritmo di rinnovo annuale sarà scomparso. I certificati scadranno più rapidamente, l’automazione sarà obbligatoria, e le aziende che si affidano ancora ai promemoria sul calendario resteranno indietro. Questa sfida, almeno, è comprensibile. Il problema più difficile non riguarda il tempo. Riguarda la visibilità.

Concetto di crittografia post-quantistica

La crittografia post-quantistica costringerà prima o poi ogni organizzazione a rispondere a una domanda che la maggior parte non si è mai posta seriamente: dove, esattamente, opera la crittografia? Non solo il certificato del sito web, ma gli handshake TLS, il software firmato, l’identità email, i flussi di lavoro documentali, la PKI privata, le dipendenze dai fornitori e l’infrastruttura legacy che funziona ancora perché nessuno ha mai avuto motivo di metterla in discussione.

Dal punto di vista di SSL Dragon sul mercato dei certificati, questo è rilevante perché i certificati non sono più soltanto una decisione d’acquisto. Stanno diventando un problema di ciclo di vita, automazione e gestione della fiducia che abbraccia TLS, S/MIME, firma del codice, firma dei documenti e infrastruttura privata. Questo è il territorio che il presente editoriale intende mappare.


Indice dei contenuti

  1. Ogni certificato porta con sé una scommessa crittografica
  2. Gli standard sono già qui
  3. Chrome non sta trattando questo come un normale aggiornamento
  4. Una matematica più complessa significa una fiducia più pesante
  5. La parte più difficile potrebbero essere le firme, non la crittografia
  6. Cosa fare prima che arrivi l’etichetta “quantum-safe”
  7. Il tempo stringe, ma il lavoro è più profondo

Ogni certificato porta con sé una scommessa crittografica

Un rinnovo mancato si annuncia da solo. Una dipendenza crittografica debole no.

I certificati scaduti falliscono in pubblico: avvisi del browser, checkout interrotti, accessi falliti, ticket urgenti. Il debito crittografico è più silenzioso. Si annida in librerie obsolete, sistemi di firma, VPN, API interne e infrastrutture private.

Un certificato SSL/TLS è molto più di un file. È una dichiarazione firmata di fiducia, che attesta che una chiave pubblica appartiene a una specifica identità, che una certificate authority era autorizzata a fare tale affermazione, e che gli algoritmi alla base della firma rimangono abbastanza robusti da essere accettati da browser, server e sistemi operativi. Quest’ultima condizione non è una garanzia. È una scommessa.

La scommessa che sembrava sicura

Per decenni, la scommessa è sembrata invisibile perché continuava a dare i suoi frutti. La crittografia RSA ed ECDSA è diventata infrastruttura digitale nel senso più autentico del termine: portante, onnipresente, e notata solo in caso di guasto. Costituisce la base di HTTPS, email cifrate, software firmato, integrità dei documenti, identità delle macchine e vaste porzioni di architettura aziendale privata. La maggior parte degli utenti non incontra mai la matematica che li governa.

La crittografia post-quantistica non mette in crisi questo quadro oggi. Ne scuote le fondamenta. La pressione non deriva da un computer quantistico che viola certificati attivi. Deriva dalla migrazione che seguirà quando gli algoritmi vulnerabili dovranno essere inevitabilmente sostituiti.

In quel momento, le organizzazioni avranno bisogno di risposte precise:

  1. Quali sistemi possono migrare agevolmente e quali fornitori controllano il percorso di aggiornamento?
  2. Quale infrastruttura legacy è troppo rigida per essere modificata in tempi ragionevoli?

La riduzione della durata dei certificati stringe i tempi di rinnovo. La migrazione post-quantistica mette in discussione se il tempo fosse mai la cosa giusta su cui concentrarsi.


Gli standard sono già qui

La crittografia post-quantistica significa sostituire algoritmi a chiave pubblica come RSA ed ECDSA con alternative progettate per resistere agli attacchi dei futuri computer quantistici.

Un tempo sembrava un problema per laboratori di ricerca e pianificatori della difesa, persone professionalmente pagate per pensare a diversi disastri in anticipo. Quella fase è finita.

Nell’agosto 2024, il National Institute of Standards and Technology (NIST) ha finalizzato i suoi primi standard di crittografia post-quantistica, completando un processo durato otto anni che ha valutato 82 algoritmi presentati da ricercatori di 25 paesi.

Tre sono emersi e sono diventati la base ufficiale per un futuro resistente ai computer quantistici.

  • ML-KEM per la definizione delle chiavi
  • ML-DSA per le firme digitali
  • SLH-DSA come alternativa stateless basata su hash

Gli standard NIST hanno un peso istituzionale considerevole. Definiscono i requisiti dei governi, gli obiettivi dei fornitori, le verifiche degli auditor e le preparazioni di browser e certificate authority. Quando il NIST si muove, il settore alla fine segue.

Dustin Moody, il matematico che ha guidato il processo di standardizzazione, è stato diretto sull’urgenza quando sono stati annunciati gli standard definitivi. Gli amministratori di sistema, ha dichiarato, dovrebbero iniziare subito a integrare i nuovi standard, perché la migrazione completa attraverso infrastrutture reali richiederà anni.

Questa è una valutazione onesta. Nessuna organizzazione ha bisogno di sostituire ogni certificato in questo trimestre. Ma la portata di ciò che dovrà cambiare è enorme: TLS, S/MIME, firma del codice, integrità dei documenti, aggiornamenti software, PKI privata, autenticazione dei dispositivi e ogni sistema che utilizza la crittografia a chiave pubblica per stabilire la fiducia. Il ritardo diventa una forma di rischio a sé stante quando la mappa è così estesa.

La domanda che un tempo dominava questa conversazione era speculativa: i computer quantistici potrebbero eventualmente violare la crittografia odierna? Quella domanda non è scomparsa, ma non è più l’unica che conta.

La domanda più difficile è ora pratica: cosa succede quando gli strumenti che proteggono la fiducia digitale moderna devono essere sostituiti in sistemi che non sono mai stati progettati per cambiare?


Chrome non sta trattando questo come un normale aggiornamento

Il segnale più chiaro che la crittografia post-quantistica non è un semplice scambio di algoritmi di routine viene dal browser che detta il ritmo a tutti gli altri.

Nel febbraio 2026, Google ha annunciato che Chrome non ha un piano immediato per aggiungere al suo Root Store i tradizionali certificati X.509 contenenti algoritmi post-quantistici.

Save 10% on SSL Certificates when ordering from SSL Dragon today!

Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10

A detailed image of a dragon in flight

Il team sta invece sviluppando i Merkle Tree Certificates attraverso il gruppo di lavoro IETF PLANTS, un approccio strutturalmente diverso al problema. Il motivo non è filosofico.

La crittografia resistente ai computer quantistici produce firme significativamente più grandi e, quando entrano in gioco i requisiti di Certificate Transparency, questo peso aggiuntivo crea una reale pressione sulle prestazioni e sulla larghezza di banda.

Se questa transizione richiedesse solo una matematica più robusta, Chrome si limiterebbe ad accettare certificati più robusti. Non è quello che sta facendo.

Quando la trasparenza incontra il peso

La Certificate Transparency ha reso il web significativamente più sicuro trasformando il rilascio dei certificati in un registro pubblicamente verificabile. Ha anche creato un sistema che deve scalare a livello globale e funzionare in ogni condizione reale: connessioni mobili deboli, firewall aziendali, dispositivi obsoleti e infrastrutture in cui la latenza non è un’astrazione ma un reclamo del cliente.

Le firme post-quantistiche mettono sotto pressione quell’architettura. I dati di fiducia diventano più pesanti. La verifica diventa più onerosa. E un TLS handshake che aggiunge attrito nel momento sbagliato non si presenta come un problema di ingegneria crittografica. Gli utenti non hanno pazienza per certificati che sono più a prova di futuro ma più lenti a dimostrarlo.

Questa è la tensione su cui Google sta lavorando, e ridefinisce ciò che la prossima sfida dei certificati richiede davvero. La resistenza quantistica non riguarda solo la solidità della fiducia, ma anche se quella fiducia può ancora essere garantita alla velocità che il web moderno richiede.


Una matematica più complessa significa una fiducia più pesante

Il problema delle dimensioni non è teorico, ma aritmetico. La firma ECDSA odierna su una curva a 256 bit è comunemente rappresentata come due valori da 32 byte prima dell’overhead di codifica.

ML-DSA-65, uno dei nuovi standard post-quantistici del NIST, ha una chiave pubblica di 1.952 byte e una firma di 3.309 byte. Le dimensioni del certificato variano in base alla codifica, alle estensioni e alla struttura della catena, ma la direzione è chiara: la crittografia post-quantistica aggiunge kilobyte laddove l’infrastruttura di fiducia del web era stata costruita attorno a oggetti molto più piccoli. Su larga scala, i byte diventano politica.

Confronto tra firme post-quantistiche

Qualche kilobyte in più su una singola connessione è un errore di arrotondamento. Su miliardi di handshake HTTPS che transitano attraverso reti mobili, proxy aziendali, CDN, log dei certificati e dispositivi che portano ancora decisioni infrastrutturali di un decennio fa, l’aritmetica si accumula in qualcosa che non può essere ignorato.

È proprio per questo che Chrome sta esplorando alternative alla semplice inserzione di firme post-quantistiche nei tradizionali certificati X.509. Il contenitore non è stato progettato per questo payload.

Più robusto non significa distribuibile

Il National Cyber Security Centre del Regno Unito inquadra il compromesso in modo diretto. I set di parametri post-quantistici più grandi offrono margini di sicurezza superiori, ma richiedono in cambio maggiore potenza di elaborazione e larghezza di banda. Per la maggior parte delle implementazioni reali, il NCSC raccomanda ML-KEM-768 e ML-DSA-65, perché rappresentano la protezione massima che una rete reale può essere ragionevolmente attesa a sostenere in modo affidabile.

Il web non è un ambiente controllato. È fatto di telefoni, router, terminali di pagamento, reti scolastiche, Wi-Fi aeroportuali, middlebox aziendali e piattaforme SaaS che operano su scelte architetturali fatte prima che il post-quantistico fosse nella lista delle priorità di budget di chiunque. L’obiettivo non è mai stato l’algoritmo più robusto possibile, ma quello più efficiente che il mondo reale avrebbe effettivamente utilizzato.


La parte più difficile potrebbero essere le firme, non la crittografia

La crittografia fa notizia perché la segretezza è intuitiva. Un messaggio è protetto oppure non lo è. Ma i certificati si trovano anche al centro di qualcosa di meno visibile e probabilmente più rilevante: le firme digitali. Una crittografia compromessa espone i dati. Firme compromesse corrompono la fiducia.

Il settore ha già visto questo tipo di fallimento.

Nel 2011, la certificate authority olandese DigiNotar fu violata e vennero emessi certificati fraudolenti per centinaia di domini, tra cui Google e Skype. I browser revocarono la loro fiducia. Il governo olandese intervenne. DigiNotar dichiarò bancarotta. Ciò che l’incidente dimostrò è che la fiducia nei certificati non viene meno in modo isolato. Quando crolla, crolla rapidamente, e gli utenti comuni sono gli ultimi a capire perché.

Questa storia vale la pena di tenerla a mente quando si considera ciò che la migrazione post-quantistica richiede specificamente alle firme. Il NIST ha standardizzato ML-DSA e SLH-DSA insieme a ML-KEM proprio perché la definizione delle chiavi e l’autenticazione sono problemi distinti che richiedono soluzioni distinte.

Il NCSC osserva che gli schemi basati su hash come SLH-DSA, LMS e XMSS producono firme più grandi e prestazioni più lente, rendendoli inadatti all’uso generale ma candidati ragionevoli per la firma di firmware e software, dove la pressione sul throughput è inferiore.

La distinzione rivela qualcosa che la conversazione incentrata su TLS spesso trascura.

  • Un certificato per siti web protegge una connessione.
  • Un certificato S/MIME protegge l’identità nella casella di posta.
  • Un certificato di firma del codice protegge il percorso tra lo sviluppatore e l’utente finale.
  • Un certificato per documenti preserva l’integrità di un file molto tempo dopo che ha lasciato le mani del suo autore.

Questi sono strumenti diversi che svolgono funzioni diverse in sistemi differenti, e ognuno di essi poggia sulla stessa base: una firma che il mondo accetta di ritenere valida.


Cosa fare prima che arrivi l’etichetta “quantum-safe”

Le organizzazioni che gestiranno bene questa transizione non saranno quelle che inseguono etichette di prodotto “quantum-safe”. Sapranno già dove opera la loro crittografia.

Questo lavoro è di routine: inventario, responsabilità, pianificazione con i fornitori, agilità crittografica. Ma è l’unica base che regge.

Inizia dalla mappa

La maggior parte delle organizzazioni conosce i propri certificati pubblici. Molto meno hanno un quadro chiaro di tutto il resto: certificati interni, sistemi di firma, identità delle macchine e infrastrutture controllate dai fornitori che svolgono silenziosamente lavoro crittografico in background.

Un inventario utile pone quattro domande:

  • Quali certificati sono attivi e chi ne è responsabile?
  • Quali sistemi dipendono da S/MIME, firma del codice, PKI privata, VPN, API o autenticazione dei dispositivi?
  • Quali fornitori controllano il percorso di aggiornamento e dispongono di una roadmap credibile?
  • Quali sistemi sono troppo fragili per sopravvivere a un’altra migrazione senza problemi?

Una volta che la mappa esiste, il rischio stabilisce le priorità. Un sito di marketing e una pipeline di firma del firmware non appartengono alla stessa tempistica.

La PKI ibrida non è la via di mezzo comoda che sembra

Molte organizzazioni si aspetteranno una sovrapposizione graduale: metodi tradizionali e post-quantistici che operano in parallelo fino al consolidamento della transizione. All’interno della PKI, questa aspettativa diventa rapidamente costosa.

Il NCSC è diretto: l’autenticazione ibrida all’interno della PKI è considerevolmente più difficile della definizione ibrida delle chiavi. Un semplice scambio di algoritmo è raramente possibile in isolamento. Le opzioni sono una PKI che gestisce entrambi i tipi di firma simultaneamente, oppure due PKI parallele. Nessuna delle due è un’impresa di poco conto.

La preferenza dello stesso NCSC è una migrazione netta verso una PKI completamente post-quantistica, piuttosto che costruire un’architettura ibrida che aggiunge complessità senza risolvere il problema sottostante.

L’agilità crittografica è una pratica, non una funzionalità

I sistemi dovrebbero essere in grado di ruotare le chiavi, scambiare algoritmi, aggiornare librerie e sostituire certificati senza una ricostruzione completa ogni volta. Le organizzazioni che riscoprono la propria infrastruttura durante ogni transizione crittografica troveranno questo decennio molto costoso.

La riduzione della durata dei certificati è una preparazione silenziosa esattamente a questo. Le aziende che già automatizzano il rinnovo e tracciano la responsabilità stanno costruendo la disciplina che la migrazione post-quantistica richiede, non perché l’automazione risolva il problema quantistico, ma perché costruisce il riflesso giusto: l’infrastruttura di fiducia gestita in modo continuativo, non salvata quando qualcosa si rompe.


Il tempo stringe, ma il lavoro è più profondo

La riduzione della validità dei certificati è la sfida che tutti possono vedere. Spingerà sempre più aziende verso l’automazione e penalizzerà i flussi di lavoro manuali basati sulla memoria, sui promemoria del calendario o su una singola persona che sa dove si trova tutto.

La crittografia post-quantistica indica la prova più profonda: se le aziende comprendono i certificati, le firme, le chiavi, i fornitori, i dispositivi e i sistemi interni da cui dipende la loro fiducia.

Un certificato da 47 giorni cambia la velocità con cui le organizzazioni devono muoversi. La migrazione post-quantistica – quanto in profondità devono guardare.

Gestisci i certificati con meno incertezza

SSL Dragon aiuta le aziende a scegliere, emettere, rinnovare e gestire certificati TLS, S/MIME, di firma del codice e di firma dei documenti. Con una guida chiara, un supporto rapido e anni di esperienza nel settore dei certificati, rendiamo la fiducia digitale più facile da gestire prima che diventi un problema.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.