Certificati SSL servizi.fatturapa.it con Let's Encrypt e validità 3 mesi

Con tempestiva comunicazione email (meno di 24h di preavviso) abbiamo ricevuto (tutti?) la seguente comunicazione

From: noreply.sdi@pec.fatturapa.it
Date: Thu, 7 Nov 2019 15:14:44 +0100 (CET)
Subject: [FatturaPA] [FatturaPA]: Sostituzione certificato server SDI
Buongiorno,
il certificato server del Sistema di Interscambio servizi.fatturapa.it ormai prossimo alla scadenza, verrà sostituito nella giornata dell’ 8 Novembre p.v., nella fascia oraria 09,30 - 11,00.

I certificati in allegato servono per:

  • DST.pem e intermediate.der: per verificare la validità della chiamata effettuata dal Sistema di Interscambio con il nuovo certificato (sono i certificati di CA del nuovo certificato);

-Servizi.fatturapa.it.cer: serve solo a quei soggetti che validano puntualmente la chiamata del Sistema di Interscambio importando anche il certificato SdI (in base alle policy di sicurezza di ciascun nodo).

Si ricorda che non occorre richiedere alcun rinnovo di certificati perché la sostituzione riguarda il Sistema di Interscambio e che il secondo certificato non deve essere usato se non è necessario effettuare riconoscimento puntuale della chiamata del SdI.

Saluti
Segreteria Tecnica SDI

Le esigenze di sicurezza sono, giustamente, al primo posto per lo SDI ma anche i vari utenti sono legittimati di forzare un trust puntuale di questi certificati sui propri sistemi.
A quanto pare però i nuovi certificati messi a disposizione hanno scadenza trimestrale e questo implica che entro il 26/01/2020 lo SDI diffonderà (magari con maggior preavviso si spera) i nuovi certificati che intenderà usare. Questo porterà ad inevitabili disservizi presso molti clienti che per poter adeguare i loro sistemi avranno necessità di contattare il loro fornitore con tutto quanto ne consegue.
Mi chiedo…

  • ma è veramente necessaria una scadenza così ravvicinata di questi certificati?
  • qualcuno è riuscito ad avere almeno conferma che questi verranno sempre emessi dalla stessa CA e relativa intermediate (la cosa semplificherebbe non poco la gestione di questi frequenti cambi)?

Scusate se vi ho rubato tempo per leggere questo argomento

1 Mi Piace

Se ne era parlato in altro thread. Lato nostro facciamo la validazione tramite CA, non del singolo certificato e per come hanno impostato la cosa, converrà fare cosi’ sperando che non cambino nuovamente CA.
Pero’ attenzione che questo riguarda le chiamate verso SDI (utente -> SDI). Quelle da SDI -> utente usano la CA rilasciata dall’agenzia entrate al momento dell’accreditamento.
La forma della mail è errata… io ho verificato in produzione continuano a chiamare con il ‘solito’ certificato. Mentre il loro end point che chiamiamo in effetti ha cambiato certificato.

1 Mi Piace

Grazie mille Andrea,
mi era sfuggito l’altro thread.