Avviso RDP “Connessione non protetta”: cosa sta succedendo e come risolvere

Il problema

Da maggio 2026, molti utenti che si connettono tramite Remote Desktop Protocol (RDP) stanno vedendo comparire uno o due popup di avviso che segnalano una connessione non protetta o un publisher non attendibile. La connessione funziona comunque, basta cliccare “OK” o “Connetti comunque” ,ma il messaggio genera comprensibile preoccupazione, sopratutto per gli utenti finali.

Perché compare questo avviso?

Microsoft ha aggiornato la propria policy di sicurezza relativa all’uso di RDP, richiedendo che i file .rdp utilizzati per avviare le connessioni siano firmati digitalmente da un publisher attendibile. Se il file non è firmato, o se il certificato del publisher non è installato nel sistema, Windows mostra l’avviso.

Maggiori dettagli sulla policy Microsoft sono disponibili qui: https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/remotepc/understanding-security-warnings

Il caso TSplus

Se nella vostra azienda utilizzate TSplus Remote Access per gestire le sessioni remote, la soluzione è stata rilasciata ufficialmente il 21 maggio 2026 con la versione 19.30.5.21.

Il changelog ufficiale di TSplus descrive nel dettaglio l’aggiornamento: https://insights.tsplus.net/it/changelog?c=Remote+Access

In sintesi, TSplus ha introdotto un meccanismo di firma automatica dei file RDP tramite il proprio certificato digitale. Per eliminare completamente il popup, è necessario che:

• Il server TSplus sia aggiornato alla versione 19.30.5.21 o successiva
• Il Connection Client v127 (o successivo) sia installato su tutti i PC client
• PC client con permessi per raggiungere licenseapi.dl-files.com sulla porta 443

Come risolvere

Aggiornare il server TSplus

Aggiornare TSplus all’ultima versione disponibile tramite l’AdminTool o scaricando il setup dal sito ufficiale. Durante l’aggiornamento i servizi vengono riavviati.

Nota⚠️: Durante l’aggiornamento del server gli utenti connessi potrebbero essere disconnessi per qualche secondo. Pianificare l’operazione fuori dall’orario di punta.

Nel frattempo, gli utenti possono continuare a lavorare normalmente: il popup è solo un avviso, non blocca la connessione come succede prima con la versione precedente.

Aggiornare il Connection Client sui PC client

Il nuovo installer del Connection Client v127 si trova sul server TSplus aggiornato nella cartella:

C:\Program Files (x86)\TSplus\Clients\WindowsClient\

Nota: Controlla che sia la versione suggerita v127

Modalità consigliata: installazione “for all users”

Eseguendo il setup con questa modalità (richiede privilegi di amministratore locale), il certificato di firma TSplus viene installato e registrato automaticamente nel sistema — senza nessun intervento da parte dell’utente.

Una volta installato il nuovo client, i file .connect esistenti vengono firmati automaticamente al primo avvio, contattando il server di TSplus (licenseapi.dl-files.com sulla porta 443). Assicurarsi che i PC client possano raggiungere questo indirizzo prima di fare la procedura.

Riepilogo

Conclusione

L’avviso di connessione non protetta non indica un problema di sicurezza nella vostra infrastruttura, ma è una conseguenza diretta delle nuove policy di firma Microsoft. TSplus ha già rilasciato la soluzione: un aggiornamento del server e la redistribuzione del Connection Client sono sufficienti per eliminare definitivamente il popup per tutti gli utenti.

FAQ — Domande frequenti

Il popup blocca la connessione degli utenti? No. Il messaggio è solo un avviso. Gli utenti possono cliccare “OK” o “Connetti comunque” e lavorare normalmente. Non c’è nessuna interruzione al servizio.

Devo ricreare i file .connect dopo l’aggiornamento? No. I file .connect esistenti vengono firmati automaticamente dal nuovo Connection Client al primo avvio, senza bisogno di ricrearli o redistribuirli.

Durante l’installazione del Connection Client compare una schermata “RDP Signature Trust — Configure now (requires admin)”: cosa devo fare?

Questa schermata compare quando il Connection Client viene installato in modalità utente singolo (non “for all users”). In questo caso il sistema non ha i permessi per installare automaticamente il certificato di firma e lo richiede esplicitamente.

Importante:

La pagina di installazione del certificato di firma RDP non viene visualizzata quando si installa il client di connessione “per tutti gli utenti”, poiché questa modalità avvia la procedura di installazione con privilegi di amministratore, consentendoci di installare e registrare automaticamente il certificato senza dover chiedere all’utente di assumere i privilegi di amministratore.

L’elaborazione della firma del file .rdp, eseguita al primo avvio di un nuovo file .connect, viene effettuata in remoto dal nostro server licenseapi.dl-files.com.

Anche il certificato stesso viene scaricato dal client di connessione di installazione su https://licenseapi.dl-files.com/cert/signer.crt

Di conseguenza, la workstation deve essere autorizzata a contattare licenseapi.dl-files.com sulla porta 443.

Il certificato viene rinnovato nel tempo? Sì, ma raramente. TSplus stima una durata del certificato di circa 5 anni. Alla scadenza, il nuovo Connection Client scaricherà automaticamente il certificato aggiornato dal server di TSplus (licenseapi.dl-files.com).

I PC client devono avere accesso a internet? Parzialmente. I client devono poter raggiungere licenseapi.dl-files.com sulla porta 443 per scaricare il certificato di firma al primo avvio. Se i client sono in VPN o dietro firewall, verificare che questa destinazione non sia bloccata.

L’aggiornamento del server interrompe le sessioni degli utenti? L’aggiornamento di TSplus riavvia i servizi brevemente. Si consiglia di pianificarlo fuori dall’orario lavorativo o in un momento di bassa attività.

Non trovo il file Setup-ConnectionClient.exe sul server, dove lo scarico?

Il file si trova sul server TSplus aggiornato in:

C:\Program Files (x86)\TSplus\Clients\WindowsClient\