I rischi dei certificati SSL scaduti per le organizzazioni aziendali
I certificati SSL scaduti possono esporre le aziende a rischi di sicurezza, tempi di inattività, perdita di fiducia dei clienti e danni finanziari e di reputazione. Processi di rinnovo dei certificati adeguati sono essenziali per evitare questi problemi, soprattutto per le grandi organizzazioni con molti certificati da gestire.
I certificati Secure Socket Layer (SSL) / Transport Layer Security (TLS) costituiscono la base della sicurezza e dell'autenticazione dei siti web moderni. Questi certificati sono ampiamente utilizzati da organizzazioni di ogni tipo e settore.
Destinati a stabilire connessioni crittografate tra siti web e browser, i certificati SSL/TLS assicurano l'integrità dei dati, autenticando l'identità di un sito web e salvaguardando la trasmissione dei dati.
Purtroppo, molte organizzazioni faticano a mantenere aggiornati i propri certificati SSL, soprattutto quelle che hanno a che fare con centinaia o addirittura migliaia di certificati digitali. I processi di rinnovo manuale sono lunghi e soggetti a errori e, poiché i reparti IT sovraccarichi di lavoro si occupano di una serie crescente di attività di sicurezza, i processi di gestione del ciclo di vita dei certificati spesso ne risentono.
Si tratta di un problema comune alle piccole imprese, ma anche le grandi aziende sono vulnerabili. Negli ultimi anni, le interruzioni dei certificati sono balzate agli onori della cronaca, provocando notevoli tempi di inattività, perdita di fiducia da parte dei clienti e, di conseguenza, ingenti perdite finanziarie. Se a ciò si aggiunge il danno alla reputazione, è facile capire perché evitare i certificati SSL scaduti con solidi processi di rinnovo dei certificati sia una priorità.
Aziende che hanno dovuto affrontare gravi interruzioni di certificati
Le interruzioni dei certificati si verificano troppo spesso, a causa della rapida espansione dei certificati SSL/TLS in uno spazio digitale sempre più complesso e vulnerabile. Molte organizzazioni apparentemente ben protette e ben gestite sono state vittime di questi problemi e purtroppo, dato che i periodi di validità dei certificati SSL si ridurranno presto a soli 90 giorni, molte altre saranno soggette a interruzioni. Questo potrebbe provocare un significativo danno alla reputazione e lasciare le organizzazioni vulnerabili agli attacchi informatici di hacker sempre più sofisticati.
Le scadenze dei certificati sono comuni, ma non inevitabili. Con il giusto approccio alla gestione del ciclo di vita dei certificati (CLM), è possibile ridurre drasticamente il rischio di interruzioni, adottando un approccio più strutturato e affidabile al rinnovo dei certificati. Tuttavia, è importante rimanere pienamente consapevoli delle principali vulnerabilità. Per evidenziare l'entità dei problemi legati alla scadenza dei certificati SSL e la necessità di vigilare, abbiamo messo in evidenza alcune organizzazioni famose che hanno avuto a che fare con interruzioni allarmanti.
Ericsson (2018)
Trasportando circa il 40% del traffico mobile mondiale, Ericsson è da tempo un nome affidabile nelle telecomunicazioni. Sebbene Ericsson fornisca in genere una copertura affidabile, nel 2018 si è verificata una grave interruzione, quando un certificato scaduto ha causato problemi a milioni di clienti europei e persino a molti in Giappone.
Davey Winder, giornalista informatico, ha dichiarato a Forbes: “Mi sarei aspettato che un'azienda grande come Ericsson lo sapesse bene e che avesse messo in atto i relativi processi di sicurezza per evitare un evento del genere”. Ha aggiunto, tuttavia, che gli operatori del settore della sicurezza informatica conoscono fin troppo bene la scadenza dirompente dei certificati.
L'amministratore delegato di Ericsson, Börje Ekholm, ha poi dichiarato che il software responsabile di questo guasto è stato disattivato. Questo fiasco ha chiaramente rivelato la necessità di “tenere sotto controllo i certificati installati nei sistemi critici per l'azienda”, come sottolineato da Tim Callan di Sectigo.
LinkedIn (2019)
LinkedIn è un nome affidabile nella moderna sfera dei social media, ma la piattaforma ha subito alcune significative sviste tecnologiche nel corso degli anni. Una delle più preoccupanti si è verificata nel 2019, quando Microsoft (che aveva precedentemente acquisito LinkedIn) ha lasciato scadere un certificato SSL. Sebbene LinkedIn sembrasse aver rinnovato il certificato in questione a maggio 2019, l'aggiornamento non è stato recepito correttamente dal server.
Questa non è stata affatto la prima volta che LinkedIn ha subito un downtime a causa di una svista nel rinnovo del certificato; ciò si è verificato anche nel 2017, quando milioni di utenti del sito web non sono riusciti ad accedere ai propri account. Il ricercatore di sicurezza Alan Woodward ha spiegato: “Non è il primo grande nome che si dimentica di rinnovare i certificati, ed è facile dimenticare i sottodomini, ma in realtà, con i promemoria che la CA [autorità di certificazione] invia, è sorprendente che succeda ancora”.
Microsoft Teams (2020)
Microsoft Teams facilita la collaborazione in tempo reale con messaggistica istantanea, videochiamate, archiviazione di file e molte altre funzionalità. Nel 2020, tuttavia, tutto questo è stato messo in discussione dagli utenti che in precedenza si fidavano, i quali si sono trovati improvvisamente di fronte a gravi interruzioni quando Microsoft Teams è andato in tilt per diverse ore.
Quando gli utenti hanno tentato di accedere, hanno ricevuto messaggi di errore, indicando che l'applicazione non era in grado di stabilire le connessioni HTTPS necessarie. Una notifica di interruzione da parte di Microsoft ha spiegato che: “Un certificato di autenticazione è scaduto, causando problemi agli utenti che utilizzano il servizio”. Ciò è particolarmente preoccupante se si considera che l'azienda utilizza System Center Operations Manager per rilevare la scadenza dei certificati.
Google Voice (2021)
Nel febbraio 2021, un certificato TLS scaduto ha impedito agli utenti di sfruttare appieno il servizio telefonico Google Voice. Per ben quattro ore, questi utenti non hanno potuto effettuare chiamate Voice over Internet (VoIP).
In seguito, un'analisi della causa principale ha spiegato: “A causa di un problema di aggiornamento delle configurazioni dei certificati, il certificato attivo nei sistemi frontend di Google Voice è inavvertitamente scaduto... Durante il periodo di impatto, tutti i client che tentavano di stabilire o ristabilire una connessione SIP non erano in grado di farlo”.
Gli ingegneri di Google hanno trascorso due ore a indagare sull'interruzione, anche se il riepilogo del problema di Google non ha rivelato cosa hanno esaminato esattamente durante questo periodo. Alla fine, un avviso ha notificato a questi professionisti le preoccupazioni che sottolineavano l'interruzione, ma non prima che si fosse verificato un tempo di inattività inaccettabile.
Spotify (2022)
Spotify ha lasciato il segno nel settore dei podcast con la piattaforma Megaphone, che aiuta i podcaster professionisti a pubblicare i loro programmi e a far crescere il loro pubblico. Nel 2022, tuttavia, questa piattaforma ha subito un'interruzione importante a causa del mancato rinnovo del certificato.
In un comunicato, la portavoce Erin Styles ha spiegato: “Megaphone ha subito un'interruzione della piattaforma a causa di un problema legato al nostro certificato SSL. Durante l'interruzione, i clienti non hanno potuto accedere al CMS di Megaphone e gli ascoltatori di podcast non hanno potuto scaricare episodi di podcast dagli editori ospitati da Megaphone”.
Questo ha impedito agli ascoltatori di podcast di ascoltare i loro programmi preferiti per ben otto ore, un tempo sufficiente per far perdere la fiducia nel loro provider di streaming preferito agli affezionati di Spotify e Megaphone. Anche dopo che l'accesso è stato tecnicamente ripristinato, molti utenti non hanno potuto utilizzare appieno il sistema di gestione dei contenuti di Megaphone.
Cisco (2023)
L'azienda ha pubblicato un bollettino che rivela che gli utenti delle appliance SD-WAN vEdge potrebbero subire perdite di servizio in caso di aggiornamento dei dispositivi. Si prevedeva inoltre che questi problemi avrebbero avuto un impatto negativo sul port-hopping e sul cambio di topologia.
Questo fiasco ha avuto un impatto su oltre 20.000 clienti. Un utente ha dichiarato a The Register: “Tutti i clienti SD-WAN basati su vEdge sono seduti su una bomba a orologeria, guardando l'orologio con le mani sudate, in attesa che la WAN delle loro aziende imploda e/o che capiscano come ri-architettare la loro WAN per mantenere la connettività”.
Purtroppo, questa non è stata la prima volta che i clienti di Cisco hanno sofferto a causa di interruzioni dei certificati. Nel 2018, un certificato SSL è scaduto all'interno del kit VPN di Cisco, suscitando anche dubbi sulla capacità di CIsco di proteggere gli utenti finali.
Il ruolo critico della gestione automatizzata del ciclo di vita dei certificati
Gli esempi sopra riportati non vogliono allarmare, ma piuttosto far capire la necessità di vigilare sulla gestione e sul rinnovo dei certificati SSL/TLS. È vero che i certificati digitali restano fondamentali, ma devono essere accompagnati da un processo affidabile per garantire una copertura costante. Sebbene le autorità di certificazione (CA) offrano notifiche prima delle date di scadenza, potrebbe essere necessario uno sforzo più concertato per prevenire i certificati scaduti che causano interruzioni.
La gestione automatizzata del ciclo di vita dei certificati promette di colmare il divario, limitando il potenziale di scadenza inattesa (e le relative interruzioni) garantendo che i certificati digitali siano rinnovati prima delle date di scadenza previste. Nel frattempo, un approccio centralizzato alla gestione dei certificati offre una migliore visibilità dello stato dei certificati, garantendo la massima supervisione di numerosi certificati.
Le strategie automatizzate favoriscono anche l'agilità crittografica, che è stata identificata come una qualità chiave per evitare le interruzioni in futuro. Questo termine si riferisce alla capacità delle organizzazioni di adattarsi all'evoluzione degli algoritmi continuando a promuovere la massima continuità dell'infrastruttura di cybersecurity. I sistemi cripto-agili sono in grado di rinnovare tempestivamente i certificati ed evitare le interruzioni.
Non diventare la prossima vittima di un'interruzione del certificato SSL
Data l'elevata posta in gioco e i rischi per la sicurezza che derivano dai certificati SSL scaduti, non c'è davvero alcun sostituto per la gestione automatizzata del ciclo di vita dei certificati. Liberate la potenza dell'emissione e della gestione automatizzata con Sectigo Certificate Manager (SCM), una piattaforma mirata progettata per portare maggiore fiducia e affidabilità all'intero ciclo di vita dei certificati digitali. Per saperne di più, programmate una demo o fate il passo successivo con una prova gratuita.