Categorie
News

Certificato di sicurezza scaduto: come risolvere il problema?

Il primo Ottobre 2021 parte del mondo si è svegliato con un sacco di problemi nell’accedere a siti internet. Questo evento è stato causato da un effetto domino nei certificati di sicurezza del web che vengono utilizzati da siti, app e web app per comunicare con il client dell’utente finale. Ma questo come è successo, perché è successo e soprattutto come risolvere il problema?

Come funzionano i certificati di sicurezza?

Per capire come mai non si riesce ad accedere a un sito o un servizio se il certificato non è valido, bisogna prima capire cosa è e come funziona un certificato di sicurezza. 

Il certificato altro non è che un file nel computer o nel server che permette di essere usato per trasmettere in modo cifrato dati attraverso connessioni e renderle in questo modo sicure

Ogni certificato, a sua volta, risulta valido e utilizzabile solo se tutte queste condizioni sono valide in contemporanea:

  • Non ha superato la sua data di scadenza
  • Ha un certificato che lo garantisce a sua volta o è uno dei Root Certificate.

Se viene a mancare uno di questi punti, il certificato non viene più ritenuto valido e i sistemi informatici lo considerano pericoloso.

Detto questo, ci sono comunque altri due tipi di certificati:

  • I certificati semplici, che permettono solo la creazione di connessioni sicure
  • I certificati avanzati, che permettono di creare certificati semplici (e a volte è anche possibile generare altri certificati avanzati) e connessioni sicure che utilizzano il certificato in questione.

Quindi se il mio certificato è stato generato, ha anche una “catena” di certificati che lo rendono valido. E questi ovviamente devono essere tutti validi affinché lo sia anche il mio.

Alla fine di questa catena ci sono i root certificate, che sono presenti anche in tutte le “macchine” che si connettono alla rete (pc, tablet, cellulari, smart devices, …). Questi ultimi certificati vengono quindi utilizzati per verificare il certificato di sicurezza del sito web. Se non torna anche solo una virgola viene segnato come non valido e, ovviamente, come pericoloso. 

Hosting 4 Agency gestisce tutte le tue scadenze: rinnovo hosting, plugin, certificati e aggiornamenti software e legali. Siamo il partner perfetto per le agenzie! Contattaci per una prova gratuita dei nostri servizi.

Certificato di sicurezza: il problema potrebbe essere Let’s Encrypt?

La maggioranza dei certificati che sono risultati invalidi per i dispositivi che hanno avuto problemi, si sono rivelati certificati di Let’s Encrypt.

Questo significa che la ditta è poco affidabile e emette certificati con troppa leggerezza? No, anzi. 

Tutto questo nasce proprio dalla stabilità e dalle garanzie che hanno voluto dare da subito come ditta. 

Quando hanno iniziato a operare come authority per i certificati, non era riconosciuta da nessuno. Aveva bisogno che una o più delle precedenti authority (direttamente o indirettamente attraverso dei certificati), li riconoscesse come validi e affidabili

Per questo motivo e per poter emettere subito certificati ritenuti validi e affidabili, hanno “controfirmato” i certificati. Questo significa che, oltre che essere validi perché generati con il root certificate ISRG Root X1 (all’epoca poco utilizzato perché particolarmente nuovo), hanno anche una “contro verifica” con un certificato più vecchio (e al momento della fondazione di Let’s Encrypt ancora valido) DST Root CA X3.

Perciò i certificati di Let’s Encrypt presero piede molto velocemente, sia per la necessità di implementare l’https il prima possibile, sia per il fattore economico (anche se durano massimo tre mesi, i certificati sono gratuiti).

Attenzione però all’aspetto seguente. Da quando Let’s Encrypt genera certificati, questi sono ritenuti validi solo se hanno tutte queste caratteristiche:

  • Se il dispositivo è non aggiornato utilizza il certificato DST Root CA X3 per la verifica
  • Se il dispositivo è aggiornato utilizza per la verifica il certificato ISRG Root X1

Questo ha comportato che Let’s Encrypt generasse i certificati senza problemi fino alla scadenza dell’ vecchio certificato ISRG Root X1 che, scadendo, doveva quindi essere abbandonato.

Cos’è accaduto con la scadenza del certificato ISRG Root X1?

Arriva quindi la scadenza del certificato ISRG Root X1 e tutti i dispositivi aggiornati non hanno avuto problemi. Le cose però sono andate diversamente da come previsto dagli esperti, perciò si è scoperto che moltissime persone (molte di più di quanto ci si aspettasse) utilizzano dispositivi non aggiornati per andare in rete e, di conseguenza, non avevano i nuovi root certificates. 

Chiarisco subito una cosa: molti di questi dispositivi non sono vecchie macchine senza più supporto da quanto sono vecchie o perché non reggono l’ aggiornamento per problemi hardware o hardware insufficiente. Sono macchine in cui gli aggiornamenti sono stati fermati o non sono proprio stati fatti.

Ovviamente, oltre a i certificati generati con Let’s Encrypt, sono scaduti tutta una serie di altri certificati tutti dipendenti da ISRG Root X1 che sono stati ricreati poco dopo utilizzando altri root certificate.

Era prevedibile? Era evitabile?

Era previsto che ci sarebbero stati problemi con i root certificate. I tecnici stavano lavorando da mesi per rendere il più “indolore” possibile la scadenza dei certificati, ma non era evitabile in quanto:

  • Anche avendo certificati di altre ditte (che emettono certificati gratis o a pagamento) basta che nella catena dei certificati siano compresi il root certificate in scadenza o certificati da lui generati
  • Bisogna avere una data di scadenza di un certificato in modo che sia abbastanza lontana dalla creazione per essere utile ma abbastanza vicina per non aver problemi di sicurezza 
  • Non si può evitare che i client non vengano aggiornati o comunque non siano in linea con le ultime buone norme di sicurezza informatica.

Certificato di sicurezza scaduto: quali sono i possibili rimedi?

Visto quello che è successo, non è possibile fare qualcosa per prevenire questo tipo di problema con i certificati di sicurezza? O bisogna aspettare che si presentino altri problemi simili?

No, anzi! Ci sono una serie di accorgimenti che tu o i tecnici da te scelti potete mettere in atto affinché venga ridotto al minimo l’impatto del cambiamento del certificato:

  1. Tenere aggiornati tutti i dispositivi che vanno in rete o comunicano con i server e tenere aggiornati i server
  2. Seguire attentamente scadenze dei certificati root e dei propri servizi, per sapere quando possono avvenire questi problemi
  3. Incitare all’utilizzo delle ultime tecnologie e all’aggiornamento dei dispositivi attraverso post, newsletter, e i social
  4. Seguire le indicazioni che il tuo registro dei certificati ti da per questi eventi (sia nel caso siano indicazioni generiche che siano indicazioni specifiche per questo o quell’evento)

Sappiamo bene che, se gestisci più siti web e hai bisogno già di mantenere sotto controllo e monitorare costantemente molteplici aspetti, curare anche questi dettagli relativi ai certificati di sicurezza non deve essere affatto semplice. 

Per questa ragione il nostro consiglio è quello di affidare il monitoraggio costante dei tuoi siti web ad un team di tecnici specializzati in questo campo, in modo da liberarti da ogni tipo di ansia e preoccupazione

Questi obiettivi sono da sempre alla base della nostra agenzia e da anni aiutiamo tantissime attività a mantenere i loro siti web sicuri, aggiornati e veloci, risparmiando ai nostri clienti perdite di tempo e fastidi di ogni sorta.

Per saperne di più sui vantaggi di diventare partner di Hosting 4 Agency clicca qui e inizia subito la tua prova gratuita.