Certificato TLS scaduto e Google Voice smette di funzionare

Continua la rassegna dei più recenti casi illustri di certificato SSL/TLS scaduto. Dopo GitHub e Spotify, questa volta, infatti, è il turno di un altro gigante del Web come Google. Big G, uno dei principali fautori del concetto di “https everywhere”, ha infatti dimenticato di rinnovare il certificato TLS per il suo servizio VoIP Google Voice. Una interruzione a livello mondiale che ha impedito agli utenti di ricevere e effettuare chiamate per ben oltre 4 ore. 

In questo articolo proveremo a capire nel dettaglio cosa è accaduto, vedendo ancora una volta come una dimenticanza di questo tipo sia molto  più comune di quanto si possa immaginare.

Secondo il rapporto ufficiale, nella notte tra il 15 febbraio e il 16 febbraio scorso, tra le 23:58 e le 4:20, un’interruzione non ha permesso agli utenti di Google Voice di accedere ai propri account e di utilizzare il servizio per 4 ore e 22 minuti.  

Dopo aver esaminato il malfunzionamento, il team di ingegneri di Google ha stabilito che la causa del cattivo funzionamento del servizio era un certificato TLS scaduto.

A causa di un problema con l’aggiornamento dei certificati digitali, infatti, il certificato SSL/TLS attivo nei sistemi di Google Voice era scaduto alle ore 23:51 del 15 febbraio 2021, innescando inevitabilmente l’interruzione del servizio. Insomma ancora una volta un certificato SSL/TLS scaduto, che crea non pochi problemi a milioni di utenti.  

Google Voice si avvale del protocollo SIP per gestire le chiamate VoIP.  Normalmente i dispositivi client di Google Voice cercano di mantenere una connessione SIP continua ai servizi di Google Voice. 

Le chiamate di Google Voice, inoltre, sono crittografate utilizzando il protocollo TLS (Transport Layer Security), che utilizza i certificati TLS per autenticare gli endpoint, nel caso specifico le applicazioni di chi chiama e di chi riceve la chiamata. 

Naturalmente i certificati digitali utilizzati per crittografare tutto il traffico di Google Voice devono essere aggiornati per mantenere le connessioni e il traffico protetti. Purtroppo a causa di un problema con l’aggiornamento delle configurazioni, il certificato TLS attivo nei sistemi di Google Voice ha terminato il suo ciclo vitale senza che fosse stato possibile rinnovarlo.  

A causa del certificato TLS scaduto, infatti, il protocollo non è stato più in grado di eseguire l’autenticazione, non permettendo l’avvio di nuove sessioni crittografate. I dispositivi client che tentavano di stabilire o ristabilire una connessione SIP non erano in grado di farlo. Al contrario i client con una connessione SIP già stabilita e non interrotta hanno potuto continuare la chiamata in corso senza particolari problemi.

I certificati SSL/TLS hanno un periodo di validità oltre il quale devono essere rinnovati poiché potenzialmente non sicuri. In particolare, i problemi sopraggiungono quando le organizzazioni non riescono a rinnovare i certificati in tempo. Tale situazione è dovuta a tre tipi di cause:

• Il sistema di avviso a causa di un bug non invia gli alert per segnalare che il certificato SSL/TLS si sta avvicinando alla sua data di scadenza. 

• Il sistema invia il promemoria, ma i dettagli sono insufficienti: non fornisce l’ubicazione, il tipo, la CA emittente, ecc. 

• Il processo di rinnovo del certificato è manuale, richiedendo così alcune ore, durante le quali l’applicazione può rimanere inattiva.

Al giorno d’oggi con il moltiplicarsi degli endpoint e l’accorciarsi sempre di più della durata dei certificati, le organizzazioni hanno bisogno sempre di più di pratiche virtuose per la gestione dei loro certificati SSL/TLS, tutte le organizzazioni, anche una realtà strutturata come Google. 

Ma cosa possono fare in concreto le organizzazioni per far fronte al problema delle interruzioni dovute ad un certificato SSL/TLS scaduto? 

La soluzione è migliorare la visibilità dei certificati e automatizzare la gestione del loro ciclo di vita. Questo, ovviamente, è un compito non facile, poiché un numero enorme di organizzazioni gestisce ancora i propri certificati in maniera rudimentale. Altre realtà, invece, utilizzano strumenti di gestione dei certificati dedicati che forniscono monitoraggio e avvisi avanzati dei certificati, ma mancano di automazione  e questo è un aspetto  da non sottovalutare.

Tutti i certificati SSL/TLS e la loro gestione dovrebbero essere automatizzati. Usando un sistema di gestione dei certificati SSL/TLS, è possibile monitorare efficacemente  i propri  certificati digitali, tenendo sotto controllo la loro durata e i rinnovi.

Purtroppo le interruzioni dovute ad un certificato SSL/TLS scaduto sono all’ordine del giorno. Le organizzazioni, infatti, necessitano sempre più certificati digitali e la loro gestione è un lavoro complesso che richiede moltissima attenzione. 

Per questo motivo molte organizzazioni si affidano a soluzioni di gestione dei certificati come quelle di GlobalSign. Soluzioni come Managed PKI, Atlas e Managed SSL rappresentano, infatti, una risorsa preziosa in grado di ridurre il tempo e i costi necessari alla gestione di un numero ampio di certificati digitali. 

Top SSL offre un’ampia gamma di strumenti per la gestione dei certificati digitali per soddisfare una vasta varietà di esigenze. Se vuoi sapere come migliorare la gestione dei certificati SSL/TLS  ed evitare interruzioni potenzialmente costose per la tua azienda, contattaci subito!