Checklist interattiva che mappa la tua postura TLS / cert all'art. 21(2)(h) NIS2 e al D.Lgs. 138/2024.
Tutti i servizi pubblici espongono solo TLS 1.2+ con TLS 1.3 abilitato preferito.
TLS 1.0/1.1 disabilitati su ogni endpoint esposto in internet.
Cipher suite legacy (RC4, 3DES, NULL, EXPORT) disabilitate.
Catena di certificati completa servita (no AIA chasing client-side).
HSTS abilitato su tutti i siti, con max-age ≥ 31536000.
Inventario centralizzato dei certificati pubblici con scadenze monitorate.
Alert automatici su scadenza certificato (T-30 e T-7).
Procedura documentata di rinnovo (chi, come, con quale CA).
Procedura di revoca rapida documentata, testata negli ultimi 12 mesi.
Runbook di notifica ACN per incidente PKI (24h early warning, 72h notifica, 1 mese report finale).
Contatti di emergenza CA/registrar documentati e raggiungibili 24×7.
Procedura di rotazione chiave privata in caso di compromissione testata.
Policy di cifratura documentata (data at rest / in transit / in use), allineata a RTS 2024/1774 art. 6.
Per servizi PSD2 / eIDAS Art. 45a: certificato QWAC presso TSP qualificato.
Almeno un fornitore secondario di emergenza per i certificati pubblici (multi-CA).
