Da una parte le crescenti minacce sui fronti cybersecurity e data protection, dall’altra l’evoluzione normativa e il cambiamento tecnologico: per mantenersi aggiornati, competitivi e affidabili, i provider di trust services, di browser e le autorità di certificazione hanno bisogno di una cabina di regia internazionale.

La collaborazione tra realtà attive su mercati diversi e la condivisione di esperienze e competenze permette di restare al passo in un settore in costante evoluzione, offrendo quindi ai propri clienti servizi di alta qualità, ma anche di definire il futuro di questi temi individuando best practice, standard e modelli applicativi.

Questi sono tra gli obiettivi del CA/B Forum, che si è riunito per l’edizione numero sessantadue dal 28 al 30 maggio all’Auditorium Aruba, con host Actalis, l’unica Certification Authority Italiana parte del CA/B Forum

Certificati e trust services, best practice e standard: come stare al passo

Per capire l’importanza di restare aggiornati, basti pensare alle novità introdotte con l’entrata in vigore il 20 maggio 2024 del rinnovato regolamento eIDAS 2.0, che introduce quattro nuovi trust services e amplia le norme relative ai certificati di autenticazione dei siti web.

A proposito di quest’ultimo ambito, vengono per esempio riconosciuti i qwac – quality web authentication certificates, certificati che vengono emessi da trust services provider qualificati, enti che operano con autorizzazione dell’Unione Europea, che introducono nuovi livelli di protezione dei dati, grazie all’identità verificata del gestore del sito e a strumenti per garantire la sicurezza delle transazioni, con benefici per la sicurezza delle reti.

Un contesto che richiede sempre più la collaborazione tra i fornitori di servizi fiduciari, le autorità di certificazione e i provider di browser, per garantire attenzione e qualità sui fronti della sicurezza e dell’accessibilità.

CA/B forum, il confronto su SSL e trust services

È chiaro quindi che fare rete, condividendo le proprie competenze e confrontandosi sulle diverse esigenze è la chiave per affrontare in maniera proattiva un contesto estremamente complesso, dove l’aggiornamento normativo, la compliance alle regole e l’adozione di misure di sicurezza sono indispensabili per operare in un settore fornendo servizi di alto livello. Il CA/B Forum – Certification Authority/Browser Forum dal 2005, anno in cui ha avviato le attività, si pone come appuntamento trimestrale per costruire un dialogo continuo tra gli operatori.

Il forum nel corso del tempo si è occupato di stabilire gli standard Baseline Requirements, che tutte le autorità di certificazione pubbliche sono tenute a rispettare, per migliorare la qualità dei certificati web e dunque alzare il livello di sicurezza degli utenti. In generale, è il luogo in cui individuare i requisiti necessari per creare, gestire e validare i certificati digitali, al fine di promuovere standard di sicurezza condivisi e aumentare il rapporto di fiducia tra i fornitori del servizio e gli utenti.

Durante l’evento di fine maggio, ad esempio, l’agenda ha previsto la presentazione da parte di Google delle nuove Tls trust expressions oltre allo stato dell’arte delle attività di vari gruppi di lavoro interni al forum, dedicati a sicurezza del network, certificati dei server, code signing certificates e validation, certificati S/MIME.

Actalis, il ruolo per i certificati SSL e i trust services

Host dell’evento Actalis, dal 2009 parte del gruppo Aruba e Certification Authority riconosciuta in tutto il mondo per l’emissione di certificati SSL. Actalis è l’unica autorità italiana tra le cinquanta che fanno parte del CA/B Forum, a cui partecipano come membri anche 9 browser provider.

La presenza al forum di tanti fornitori e delle big tech, come la già citata Google ma anche Mozilla, Microsoft e Apple, permette di creare l’ambiente adatto a discutere e individuare best practice e standard sempre più rilevanti per l’efficienza e la sicurezza delle reti.

Così, Actalis come gli altri partecipanti al CA/B Forum, ha la possibilità di accedere in anteprima alle novità in ambito sicurezza dei certificati e trust services, una prerogativa fondamentale per adeguarsi e offrire servizi compliant e aggiornati alle norme e alle misure di sicurezza più innovative, ma anche di sedere al tavolo decisionale in materia di standard e normative, confrontandosi con enti come ETSI e con i grandi provider che operano a livello mondiale.

L’importanza di custodire i dati in UE: il Global Cloud Data Center di Aruba

L’evento è stato ospitato all’Auditorium Aruba, nel Global Cloud Data Center di Aruba a Bergamo. Gli ospiti hanno avuto la possibilità di visitare il campus tramite tour dedicati. L’area in totale si estende su 200.000 metri quadrati di terreno e ospita tre data center, DC-A, DC-B e DC-C, altri due sono previsti in futuro.

La presenza dei data center su suolo italiano è un aspetto importante da considerare contemplando i servizi offerti da Aruba e il ruolo di Actalis. Infatti, la territorialità garantisce il rispetto delle norme in materia di protezione dei dati previste dal GDPR e, in generale, di un approccio alla gestione dei dati e degli aspetti di security e privacy improntati al rispetto della normativa e delle pronunce delle autorità europee.

Questo assicura elevati standard di tutele per gli interessati, oltre alla compliance normativa per chi usufruisce dei servizi offerti, compresi i trust services come i certificati SSL, TLS e S/MIME  

Contributo editoriale sviluppato in collaborazione con Aruba