Certificati in Salesforce

Conformità e scadenza dei certificati

Salesforce è conforme alle indicazioni del Forum browser dell'autorità di certificazione (CA/Browser Forum), l'organizzazione che imposta la maggior parte delle regole WebPKI (Web Public Key Infrastructure). Salesforce aderisce ai requisiti di base del server TLS (Transport Layer Security), che cambiano regolarmente. Questi requisiti sono al di fuori del controllo di Salesforce e tutti i fornitori di certificati sono vincolati dalle regole del forum CA/Browser.

Il forum CA/Broswer sta implementando un approccio graduale per ridurre la durata massima consentita dei certificati e il periodo massimo di riutilizzo delle informazioni di convalida dei domini.

• Fino al 15 marzo 2027, la durata massima della vita e il periodo massimo di riutilizzo delle informazioni di convalida del dominio sono 200 giorni.
• A partire dal 15 marzo 2027, la durata massima della vita e il periodo massimo di riutilizzo delle informazioni di convalida del dominio sono 100 giorni.
• A partire dal 15 marzo 2029, la durata massima della vita è di 47 giorni e il periodo massimo di riutilizzo per le informazioni di convalida del dominio è di 10 giorni.

Queste durate massime e questi periodi di riutilizzo sono validi al momento della creazione del certificato. Ad esempio, l'ultima data di scadenza possibile di un certificato TLS creato il 1° giugno 2025 è il 4 luglio 2026, ma l'ultima data di scadenza possibile di un certificato TLS creato il 1° giugno 2026 è il 18 dicembre 2026.

Poiché Salesforce è conforme alle indicazioni del Forum browser dell'autorità di certificazione (CA/Browser Forum), queste modifiche si applicano ai certificati creati in Salesforce.

Importante Quando si raggiunge ogni punto saliente, queste durate si applicano a tutti i nuovi certificati firmati da un'autorità di certificazione (CA) pubblica, indipendentemente dal fatto che il certificato venga acquistato dall'utente, da Salesforce o da una terza parte. Tuttavia, queste modifiche non hanno alcun impatto sulla data di scadenza dei certificati esistenti. I certificati autofirmati non sono soggetti alle nuove durate di vita o ai periodi di riutilizzo per le informazioni di convalida del dominio e la data di scadenza dei certificati esistenti non cambia.

Attualmente, quando si crea un certificato autofirmato in Salesforce, il certificato scade dopo un anno. I certificati CA importati in Salesforce scadono in base alle regole del fornitore, che sono conformi alle regole CA/Browser Forum. Il periodo di tempo massimo corrente per il riutilizzo delle informazioni di convalida del dominio è 200 giorni, dopo i quali è necessaria la convalida del controllo del dominio (DCV). Salesforce prevede di pubblicare una nota di rilascio non appena si raggiunge ogni punto saliente.

Per ricevere notifiche sulle prossime scadenze dei certificati archiviati nell'organizzazione, assegnare l'autorizzazione Notifica certificato scaduto ad amministratori specifici. Vedere Impostazione dell'autorizzazione Notifica certificato scaduto. Queste notifiche si applicano ai certificati archiviati nell'organizzazione, non ai certificati TLS Salesforce.

Certificati Salesforce

Per offrire un'esperienza affidabile, Salesforce utilizza le tecnologie High Availability (HA), Disaster Recovery (DR), load balancing e scalabilità automatica. Con questo approccio, Salesforce ordina e fornisce certificati in base alle esigenze. I servizi Hyperforce implementano già questo approccio.

Salesforce in genere ruota i certificati forniti almeno 45 giorni prima della scadenza, anche se un certificato può essere ruotato dalla piattaforma prima.

Funzioni di Salesforce che utilizzano i certificati

In Salesforce, i certificati vengono utilizzati per la crittografia in transito, per l'autenticazione basata su certificato e per alcune opzioni di Single Sign-On. È anche possibile utilizzare un certificato di cui si è titolari per servire un dominio personalizzato. Se si utilizzano queste funzioni, prepararsi ad aggiornare i certificati correlati in base alla nuova cadenza, poiché il fornitore di certificati è vincolato anche dalle regole del forum CA/Browser.

Se si utilizza un certificato memorizzato in Salesforce per servire il dominio personalizzato, valutare la possibilità di aggiornare il dominio personalizzato in modo che utilizzi la CDN di Salesforce o una CDN o un servizio di terze parti che gestisce i certificati. La CDN di Salesforce è disponibile solo per i domini personalizzati che servono un sito Experience Cloud. Entrambe le opzioni di configurazione riducono il lavoro di gestione dei certificati con durate di vita più brevi.

Crittografia certificati TLS

Tutti i certificati utilizzati da Salesforce per TLS hanno le seguenti proprietà.

• Parametro chiave: RSA 2048 bit, RSA 3072 bit, RSA 4096 bit, curva ECDSA P-256, curva ECDSA P-384 o curva ECDSA P-521
• Algoritmo di firma: SHA256, SHA384 o SHA512

Importante Verificare che le integrazioni software e hardware supportino tutti questi parametri chiave e algoritmi di firma. In particolare, se un'integrazione utilizza Java o SAP che risale a più di 10 anni prima, probabilmente utilizza JDK 8 o precedente. A meno che non si utilizzi JDK 9 o versione successiva, sono necessari ulteriori file per utilizzare gli algoritmi crittografici più potenti di oggi. Vedere Oracle Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files Download.

Creazione dell'archivio fiduciario dei certificati radice richiesti

I certificati emessi da Salesforce sono destinati all'uso con TLS. Salesforce garantisce che i certificati emessi vengono concatenati a un'autorità di certificazione radice (CA) nell'elenco certificati radice SSL/TLS. Per supportare TLS in Salesforce, creare un truststore contenente tutte le CA radice.

Non bloccare altri certificati

Il pinning dei certificati è la procedura di selezione di un singolo certificato o insieme di certificati Trust che non sono CA root. Il blocco è una procedura di sicurezza obsoleta che aggiunge complessità operativa, può causare interruzioni alla scadenza del certificato bloccato e può causare interruzioni quando si utilizza un nuovo certificato che non fa parte del blocco. I rischi di interruzione aumentano man mano che diminuisce la durata massima di un certificato TLS.

In linea con le indicazioni OWASP sul pinning di certificati e chiavi pubbliche, Salesforce sconsiglia vivamente il pinning dei certificati.

Il blocco dei certificati non è supportato in Hyperforce o per i clienti di Marketing Cloud Engagement. E se si blocca il certificato di autenticazione per l'app mobile Salesforce, gli utenti non possono accedere dopo che un certificato è stato ruotato finché non si aggiorna l'app o l'utente non reinstalla l'app.

Se si bloccano i certificati, si consiglia di interrompere questa pratica il prima possibile.

Anche se Salesforce sconsiglia vivamente il blocco dei certificati, riconosciamo che alcuni clienti bloccano i certificati per le organizzazioni nei data center first party (1P). Per questi clienti, Salesforce annuncia le imminenti modifiche dei certificati solo per le organizzazioni di produzione nei data center 1P fino al 6 luglio 2026. Se l'organizzazione non è ancora in Hyperforce, è possibile ricevere tali notifiche tramite il gruppo Trailblazer Community Modifiche certificato.

Avvertenza Salesforce prevede di interrompere gli annunci di rotazione dei certificati pubblici per le organizzazioni di produzione 1P il 6 luglio 2026.

Automazione della rotazione dei certificati

Per creare e aggiornare certificati autofirmati e firmati da un'autorità di certificazione (CA) in Salesforce, utilizzare il tipo di API dei metadati.