Se l’Agenzia per l’Italia Digitale dimentica di rinnovare il certificato del suo sito

Cosa succede a un portale governativo se il certificato scade durante il fine settimana? La storia del sito di Agid (Agenzia per l’Italia Digitale) è l’emblema di ciò che può accadere: il sito continua a essere online, ma gli utenti si trovano davanti a una scelta: tornare indietro e non navigare lì sopra, oppure assumersi tutti i rischi del caso e proseguire. Al netto della correzione e del ripristino del protocollo SSL/TLS avvenuta 24 ore dopo la scadenza, nella mattinata di lunedì 22 aprile, questa vicenda apre diversi spazi di riflessione. Partendo da uno di livello reputazionale: se neanche l’agenzia governativa che si occupa di tutti gli aspetti digitali del Paese (compresa la digitalizzazione della PA) è attenta a questi dettagli, come possono i cittadini/utenti avere fiducia?

Sito Agid online per 24 ore con certificato scaduto

Come detto, il problema è stato risolto 24 ore dopo. Secondo quanto siamo riusciti a ricostruire, il rinnovo del protocollo era avvenuto diversi giorni fa (il 9 di aprile). Dunque, perché per l’intera giornata di domenica i browser (da Chrome a Firefox, passando per Safari) hanno avvertito gli utenti parlando di rischi per la propria privacy? Quel protocollo rinnovato, evidentemente, non era stato applicato correttamente. E il fatto che la scadenza – nota a tutti, essendo un dato pubblico – cadesse di domenica, ha fatto il resto. Si è trattato, dunque, di un problema di superficialità che – nel caso specifico – non ha provocato enormi rischi per la sicurezza dei naviganti.

Perché il protocollo SSL/TLS, è uno standard basato anche sulla crittografia: protegge il collegamento/connessione tra l’utente e il sito web. Nel caso di Agid, essendo un portale esclusivamente di consultazione, il rischio di intromissioni è stato praticamente nullo. O, al massimo, senza potenziali rischi di attacchi informatici come il man-in-the-middle. Se un certificato di questo tipo scadesse o non fosse correttamente applicato ad altre tipologie di siti, gli utenti potrebbero vedere intercettati (senza accorgersene) i propri dati di autenticazione e, in alcune occasioni, anche di pagamento. Per fortuna, questo non è stato il caso. Resta, però, una pessima figura.

• Il sito dell’Agenzia per l’Italia Digitale non è (stato) sicuro
• Cosa è successo al certificato del sito web di Agid?
• Dal nuovo certificato alla mancata o scorretta applicazione, dopo le 10 di lunedì il problema Agid è rientrato
• Cosa succede se un sito ha un certificato scaduto