Certificato SSL scaduto e GitHub va in down

Come visto in passato, anche alle grandi organizzazioni può capitare di non ricordarsi di rinnovare i propri certificati SSL. La lista è tristemente lunga e recentemente si è arricchita di un nuovo illustre nome: GitHub.

 Infatti, dopo il caso di Spotify avvenuto ad inizio settembre, nelle scorse settimane è stata la volta di GitHub. La homepage del popolare servizio di hosting per progetti software è rimasta inattiva per alcuni minuti e molti utenti hanno ravvisato un funzionamento anomalo della piattaforma proprio a causa di un certificato SSL scaduto.

 In questo articolo cercheremo di capire in dettaglio cosa è accaduto, vedendo come un errore di questo genere è molto più comune di quanto si possa pensare.

Le interruzioni causate dalla scadenza dei certificati SSL sono molto più frequenti di quanto si possa credere. GitHub, infatti, è in compagnia di moltissime altre imprese e organizzazioni globali come ad esempio Spotify, Cisco, Equifax, Microsoft e il Governo degli Stati Uniti d’America. 

Nonostante l’importanza di avere un certificato SSL valido, un gran numero  di business online dimentica di rinnovarlo, causando fastidiose interruzioni di servizio per i propri utenti.

Ad inizio anno Microsoft Teams era risultato non raggiungibile a causa del rinnovo di un certificato digitale, lasciando così milioni di clienti impossibilitati di utilizzare il servizio. Poi, a settembre è toccato a Spotify, il popolare servizio di streaming musicale, rimasto in down per oltre un’ora sempre a causa di un certificato SSL scaduto, lasciando milioni di utenti senza le loro playlist musicali preferite.  Infine, poche settimana è stato il turno di Github.

La homepage di GitHub non funzionava correttamente con rapporti che indicavano la causa in un certificato SSL scaduto. Presto sono comparse in rete le prime segnalazioni da parte di tantissimi utenti contrassegnate dall’hashtag #githubdown.

Gli utenti di GitHub segnalavano di non essere in grado di accedere alle varie risorse della piattaforma, a prima vista proprio perché il certificato SSL relativo alla rete di distribuzione dei contenuti di GitHub era scaduto. 

In particolare Masiur Rahman Siddiki, un web developer del Bangladesh twittava il suo disappunto e allegava lo screenshot del certificato SSL del CDN di GitHub (github.githubassets.com), aiutando così a fare maggiore chiarezza sull’accaduto.  

Il certificato SSL in questione, infatti, era valido fino alle alle 13:00 (ora italiana) del 2 novembre 2020.

Si tratta di un problema di  “contenuto misto”. Il server principale di GitHub, infatti, disponeva di un certificato SSL valido. Alcune parti del sito, come ad esempio i testi continuavano a funzionare, mentre altre risorse come le immagini, i CSS e i JavaScript non venivano caricati correttamente.

Questo problema è dovuto al fatto che il sito web non carica le risorse da una CDN con un certificato SSL scaduto, senza prima aver lanciato avvisi o, in alcuni casi, compromettendo l’interfaccia utente del sito web. Proprio come è successo a GitHub.  

L’interruzione, durata 40 interminabili minuti, è stata poi risolta dai tecnici di GitHub comprando un nuovo certificato SSL valido fino a novembre 2021.

Non è possibile sapere come il certificato SSL sia scaduto. Un errore tecnico o umano? La scadenza del certificato non era adeguatamente monitorata? Difficile scoprirlo. 

Ad ogni modo, questa vicenda evidenzia in maniera chiara ancora una volta, quanto la gestione del ciclo di vita dei certificati digitali sia di primaria importanza per le aziende e i loro business online. 

Al giorno d’oggi le organizzazioni hanno bisogno sempre di più dei certificati digitali per proteggersi. Per questo motivo l’utilizzo di pratiche virtuose di gestione dei certificati è diventato di vitale importanza.

Tutti i certificati SSL e la loro gestione dovrebbero essere automatizzati. Usando un sistema di gestione dei certificati SSL , è possibile monitorare efficacemente  i propri  certificati digitali, tenendo sotto controllo la loro durata e i rinnovi. 

Le interruzioni del servizio dovute ad un certificato SSL scaduto sono all’ordine del giorno. Le organizzazioni hanno bisogno di sempre più certificati e la loro gestione è un lavoro complesso che richiede molta attenzione. 

Per questo motivo molte imprese si affidano a soluzioni di gestione dei certificati come quelle di GlobalSign. Soluzioni come Atlas, Managed PKI, Managed SSL e Certificate Inventory Tool sono, infatti, una risorsa preziosa in grado di ridurre il tempo e i costi necessari alla gestione di un numero ampio di certificati digitali. 

Top SSL offre un’ampia gamma di strumenti per la gestione dei certificati digitali per soddisfare ogni varietà di esigenze aziendali. Se vuoi sapere come migliorare la gestione dei certificati SSL  ed evitare interruzioni potenzialmente costose per la tua azienda, contattaci subito!