Spotify dimentica il rinnovo dei certificati SSL /TLS e va in down

Anche alle grandi multinazionali può capitare di dimenticare di rinnovare i propri certificati SSL /TLS. La lista delle organizzazioni, che comprende tra gli altri il Governo degli Stati Uniti, Microsoft, Cisco, Ericsson ed Equifax, negli scorsi giorni si è arricchita di un nuovo illustre nominativo.

Spotify, il servizio di streaming musicale più utilizzato al Mondo, infatti, è improvvisamente rimasto irraggiungibile per oltre un’ora, lasciando milioni di utenti nel Mondo senza la loro musica preferita. Subito in rete si sono susseguite insistentemente le voci su un possibile attacco hacker, ma la realtà dei fatti era molto più semplice. L’interruzione del servizio, infatti, è stata causata con ogni probabilità dalla scadenza di un certificato SSL /TLS. 

Le interruzioni causate dai certificati SSL /TLS scaduti sono molto più comuni di quanto si possa pensare. Spotify non è la sola, ma è in buona compagnia di multinazionali, amministrazioni pubbliche e agenzie governative. 

Ad inizio anno era stato Microsoft Teams ad andare in down a causa del rinnovo del certificato digitale, non permettendo così a milioni di utenti di raggiungere la piattaforma di lavoro. Più recentemente, invece, c’è stato il caso CalREDIE, il sistema per la segnalazione e la sorveglianza elettronica delle malattie del Dipartimento della Salute Pubblica della California, che sempre a causa di un certificato SSL /TLS scaduto ha causato la stima errata dei casi di Covid-19 presenti nello stato. 

Spotify non ha ufficialmente spiegato il motivo tecnico dietro all’improvvisa interruzione del servizio, ma su Twitter Louis Poinsignon, un ingegnere informatico di Cloudflare ha svelato cosa era successo veramente:

Come si può vedere dall’immagine il certificato in questione è scaduto il 19 agosto 2020 alle ore 12:00 GMT, che corrispondono alle 14:00 ora italiana, solo pochi minuti prima che su Twitter iniziassero a moltiplicarsi i cinguettii degli utenti con l’hashtag #spotifydown.

La dichiarazione di Poinsignon può essere facilmente verificata consultando  il Transparency report di Google, dove sono disponibili i dettagli del certificato digitale, nello specifico un certificato SSL wildcard (CN=*.wg.spotify.com). 

Maggiore è la dimensione delle organizzazioni e maggiore è la mole di certificati SSL/TLS con cui queste hanno a che fare. In altri termini più è grande la struttura organizzativa da proteggere e maggiore è la difficoltà nel tenere traccia di decine di migliaia di certificati SSL /TLS, soprattutto se la maggior parte dei team di sicurezza utilizza ancora  metodi manuali per monitorarli. 

Basta una scadenza improvvisa e l’organizzazione si ritrovi a dover fare i conti con un’interruzione di servizio difficile da risolvere e soprattutto costosa. Questo  perché i certificati SSL /TLS non devono solo essere rinnovati, ma  spesso  devono  anche essere aggiornati su più server web, server di app e in altre posizioni della rete.    

Quanti danni ha potuto causare la scadenza del certificato SSL /TLS a Spotify? 

Un modo per stimare in modo molto approssimativo il danno è quello di osservare le entrate che la società genererebbe normalmente nel periodo di tempo in cui il servizio è rimasto offline. 

Secondo gli ultimi dati disponibili, Spotify lo scorso anno ha generato un fatturato di 6,24 miliardi di euro, che equivalgono a 17 milioni di euro al giorno, o circa  1,1 milioni di euro ogni ora e mezza. 

Considerando che, la maggior parte del fatturato di Spotify proviene dagli abbonamenti, tali perdite di fatturato sono solo una parte dei danni generati dall’interruzione del servizio. Infatti, bisogna considerare anche l’aumento dei costi dell’assistenza, la diminuzione dei nuovi clienti, l’abbandono di una parte di clienti attuali a favore di altre piattaforme di streaming musicale e soprattutto i danni alla reputazione del brand.  

Insomma è difficile stabilire una cifra esatta del costo di questo mancato rinnovo. Le variabili da considerare sono molteplici, come anche molteplici sono state le difficoltà riscontrate dagli utenti: alcuni hanno riferito di essere in grado di ascoltare con l’app desktop ma non con l’app mobile, mentre altri hanno segnalato l’esatto contrario. L’unica cosa certa è che questa dimenticanza è costata all’azienda svedese svariati milioni di euro.

Non sappiamo come il certificato di Spotify sia potuto scadere senza che nessuno se ne sia accorto. Il certificato non era monitorato? Un errore umano? Difficile saperlo con certezza, in ogni caso, la conclusione è ancora una volta, che la gestione del ciclo di vita dei certificati digitali è di vitale importanza per le organizzazioni. 

Le organizzazioni hanno bisogno di un numero sempre maggiore di certificati digitali per proteggere le loro attività (certificati SSL /TLS, S/MIME, code signing, etc.), per questo motivo l’implementazione di pratiche di gestione dei certificati efficaci è divenuta fondamentale.

Le organizzazioni dovrebbero implementare un sistema di gestione dei certificati che sia in grado di assicurare:

1. La rilevazione automatica dei certificati digitali;
2. L’invio delle notifiche delle scadenze automatizzate; 
3. Dove possibile il rinnovo e l’installazione automatizzati dei certificati;
4. Controlli e notifiche automatizzate per eventuali vulnerabilità relative alla sicurezza;
5. Flussi di approvazione automatizzati per il personale per richiedere certificati attraverso i canali ufficiali.  

Tutti i certificati digitali impiegati e il processo di gestione dovrebbero essere automatizzati. Usando un sistema di gestione dei certificati SSL /TLS , gli amministratori possono monitorare in maniera continuativa i propri sistemi e i  certificati digitali, con la possibilità di generare report e tenere sotto controllo la durata dei certificati digitali, le loro scadenze e i relativi rinnovi.

Le interruzioni del servizio relative a certificati SSL /TLS scaduti, come verificatosi per Spotify, purtroppo sono diventate sempre più comuni. Le organizzazioni stanno accumulando sempre più certificati e il compito di gestirli tutti, rimanendo al passo con le scadenze, è diventata una sfida ardua.

Molte aziende si affidano a soluzioni di gestione dei certificati come quelle offerte da GlobalSign per la gestione del ciclo di vita dei loro certificati digitali. In particolare, soluzioni come Managed SSL, Managed PKI, Certificate Inventory Tool (CIT) e il nuovissimo Atlas possono essere molto utili per ridurre i costi, lo sforzo e il tempo associati alla gestione di un numero ampio di certificati digitali.  

Top SSL offre una vasta scelta di strumenti per la gestione dei certificati per soddisfare un’ampia varietà di esigenze aziendali. Se vuoi sapere come migliorare la gestione dei certificati SSL /TLS ed evitare interruzioni potenzialmente costose per la tua organizzazione, contattaci subito!