AgID ha effettuato una nuova rilevazione (di seguito monitoraggio) sull’utilizzo del protocollo HTTPS e lo stato di aggiornamento dei CMS nei sistemi della Pubblica Amministrazione, come previsto dal Piano Triennale per l’informatica nella Pubblica Amministrazione.
Risultati della scansione HTTPS
I siti soggetti a scansione per la verifica del protocollo HTTPS sono stati raggruppati in quattro categorie:
- Siti senza HTTPS. Sono i siti che non implementano il protocollo HTTPS.
- Siti con gravi problemi di sicurezza. Sono i siti che hanno HTTPS ma la configurazione adottata è facilmente aggirabile (es: non hanno un certificato valido).
- Siti mal configurati. Sono i siti che hanno HTTPS ma la configurazione usata, sebbene non immediatamente vulnerabile, non è più considerata idonea agli standard moderni (es: uso di cifrari CBC).
- Siti sicuri. Sono i siti che hanno HTTPS e la configurazione è adeguata agli standard moderni.
I dati mostrano che la percentuale di siti che utilizza una corretta configurazione HTTPS è più che raddoppiata (da 4149 a 9022) rispetto allo scorso anno (2021) e quadruplicata rispetto a due anni fa (erano 1766 nel 2020). Il miglioramento sul fronte dell’utilizzo di HTTPS è principalmente dovuto alle azioni correttive legate alla rimozione del supporto alle versioni obsolete di TLS (TLS 1.0 e 1.1) e, in misura minore, alla forzatura dell’utilizzo di HTTPS tramite redirect da HTTP.
Siti senza HTTPS
Un importante miglioramento riguarda anche la percentuale di siti che non supporta il protocollo HTTPS.
Rispetto ai risultati emersi dalla scansione precedente (2021) si è riscontrata una diminuzione del 34% (da 340 a 223 unità) e, rispetto alla scansione di due anni fa, il numero si è dimezzato (erano 445 nel 2020).
Siti con gravi problemi di sicurezza
In questa categoria rientrano i siti con HTTPS facilmente aggirabile (es: certificato non corretto) o debole (es: cifrari con chiavi piccole o senza confidenzialità).
Questa categoria è la più complessa da analizzare: in termini assoluti la recente scansione ha evidenziato una diminuzione di circa 2200 unità di siti problematici.
Le principali variazioni sono:
- Circa 2100 siti hanno implementato il redirect da HTTP ad HTTPS.
- Sono diminuiti i siti che facevano un redirect verso HTTP di circa 300 unità.
- C’è stata una diminuzione assoluta di quasi 1800 siti che hanno il certificato non corretto.
- Sono dimezzati i siti che usano al massimo TLS 1.0 e TLS 1.1 (da circa 4900 a circa 2200).
Il CERT-AGID evidenzia quindi un abbandono delle versioni obsolete di TLS che, insieme ad uso corretto del reindirizzamento ad HTTPS e all’utilizzo di un certificato valido, hanno portato a un deciso ridimensionamento di questa categoria (dal 53% dei siti totali nel 2021 ad un 41% dei siti del 2022).
Al momento, la maggior parte dei siti della PA (il 47%) usa HTTPS in modo sicuro. Tuttavia, i siti con gravi problemi di sicurezza sono ancora piuttosto vicini in termini percentuali (41%).
In questo anno si delinea quindi una dicotomia in cui da una parte ci sono siti correttamente configurati e dall’altra siti che hanno gravi errori di configurazione. Tra le due situazioni, i siti “irrecuperabili” (senza HTTPS) sono relativamente pochi (1%) mentre i restanti (11%) sono “quasi” correttamente configurati.
Siti malconfigurati
Questa categoria comprende i siti che supportano versioni obsolete di TLS e cifrari CBC per cui sono noti attacchi anche se non di immediata sfruttabilità.
Sebbene, nella sua suddivisione, questa categoria mantenga le percentuali dei siti con TLS 1.x invariate, in termini assoluti si ha un più che abbondante dimezzamento dei siti che usano versioni obsolete di TLS.
Questa diminuzione è il principale motivo del raddoppiamento dei siti sicuri. Infatti, una volta abbandonate le versioni obsolete di TLS, questi siti sono risultati in linea con gli standard moderni.
I siti che usano cifrari CBC sono invece rimasti invariati.
Siti sicuri
Il numero di siti sicuri è più che raddoppiato: per la prima volta sono la fetta più grande della torta (47%). La principale spinta migliorativa è venuta dall’abbandono delle versioni obsolete di TLS, da un migliore uso del redirect verso HTTPS e dall’utilizzo di certificati validi. In aumento anche l’uso del protocollo TLS 1.3, che sono triplicati rispetto alla precedente rilevazione.
Risultati della scansione CMS
Anche il numero di siti Istituzionali che espongono un CMS aggiornato presenta un lieve miglioramento. Allo stato attuale, un quarto dei domini che usa un CMS utilizza una versione aggiornata all’ultima release disponibile. La crescita, rispetto a quanto rilevato nella scansione precedente (2021), è stata dell’8%, recuperando di fatto la regressione evidenziata lo scorso anno rispetto al 2020.
Questo lieve miglioramento osservato sul fronte dei CMS è certamente dovuto ad una maggiore consapevolezza delle amministrazioni riguardo ai rischi che comporta l’esposizione di un CMS vulnerabile, agevolato anche dalla semplicità con cui le piattaforme di Content Management System favoriscono la notifica di una nuova versione e provvedono, anche automaticamente, ad applicare gli aggiornamenti necessari a risolvere le criticità riscontrate.
Le tipologie di CMS utilizzati sono rimaste invariate, così come il numero di siti Istituzionali che non dispone di un CMS.
Su un totale di 21700 portali Istituzionali sottoposti a monitoraggio, sono risultati correttamente raggiungibili 18096 siti di cui 9108 utilizzano un CMS per i quali è stato possibile procedere con il rilevamento della sua versione.
Comparazione monitoraggio 2021 – 2022 sui domini che espongono un CMS
Il numero di siti Istituzionali che utilizza un CMS correttamente aggiornato è cresciuto dell’8% rispetto alla scansione del 2021. Complessivamente, un quarto dei domini espone un CMS aggiornato all’ultima versione.
Comparazione monitoraggi 2021 – 2022 rispetto ai domini raggiungibili
Anche il numero di domini correttamente raggiungibili è aumentato del 10% rispetto alla precedente scansione.
Tipi di CMS rilevati
Il 57,15% dei siti Istituzionali utilizza il software WordPress come CMS, rivelandosi ancora una volta il CMS più usato nella Pubblica Amministrazione. Seguono Joomla per il 24,71% e Drupal per l’8,72%.
Rispetto al monitoraggio precedente il numero di siti WordPress è cresciuto passando da 4490 a 5205 siti, un incremento totale di 715 siti. Per quanto riguarda l’uso dei CMS Joomla e Drupal i numeri sono rimasti quasi invariati. I restanti CMS risultano utilizzati da appena il 9.5% dei siti Istituzionali.
Utilizzo del servizio di autoverifica HTTPS/CMS
A un anno esatto dall’esposizione del servizio per la autoverifica della configurazione HTTPS e CMS riservato alla Pubblica Amministrazione, sono state elaborate in totale 549 richieste di analisi provenienti da organizzazioni pubbliche censite su IPA.
Nello specifico, il 54,28% delle richieste proviene da “Comuni e loro Consorzi e Associazioni”.
Conclusioni e osservazioni
Questo monitoraggio rileva ancora un trend positivo di miglioramento come già evidenziato nel secondo monitoraggio.
Lo stato del protocollo HTTPS nella PA
Raddoppiano i siti considerabili sicuri, per quel che riguarda l’utilizzo del protocollo HTTPS, e diminuiscono i siti che non lo utilizzano. In questo terzo monitoraggio la tendenza migliorativa principale è stata quella dell’abbandono delle versioni obsolete di TLS ed un aumento dell’utilizzo del redirect da HTTP ad HTTPS.
Nella precedente scansione, la spinta migliorativa principale era stata l’adozione di una corretta interazione tra HTTP e HTTPS (redirect verso HTTPS, eliminazione dei redirect verso HTTP). In quest’ultima, la spinta principale viene dall’aggiornamento della configurazione del protocollo TLS utilizzato, probabilmente dovuto alla pressione esercitata dalla comunità di sviluppatori di librerie che, in sostanza, stanno eliminando il supporto alle versioni pre 1.2. Nel frattempo, la diffusione di TLS 1.3 sta avanzando velocemente.
Nella prima scansione effettuata era stato rilevato un solo sito che supportava al massimo SSL3: in questa terza scansione si conferma l’assenza di simili situazioni. Continuano a diminuire i domini che supportano al massimo TLS 1.0 (da 151 a 82) e adesso non vi sono più siti che supportano al massimo TLS 1.1 (prima erano 6).
Per il resto, l’utilizzo di IPv6 è rimasto inviariato al 2% del totale (sceso di 22 unità assolute). Continua lo strano trend per cui ci sono più domini con 4 indirizzi IP di quanti ce ne siano con 3. In entrambi i casi, la percentuale è trascurabile rispetto alla maggioranza di siti che ha un unico indirizzo IP e alla minoranza che ne ha 2.
Il livello di sicurezza dei CMS nella PA
Anche il numero di siti Istituzionali che espongono un CMS aggiornato presenta un lieve miglioramento. La crescita rispetto a quanto rilevato nella scansione precedente ha recuperato di fatto la regressione evidenziata lo scorso anno rispetto al 2020.
Complessivamente, al netto del 21% dei CMS per i quali non è stato possibile rilevare la versione in uso, solo un quarto dei CMS rilevati è risultato sicuramente aggiornato all’ultima release.
Come già evidenziato, sempre più amministrazioni utilizzano CMS, per lo più WordPress, su cui vengono installati plugin “di sicurezza” che di default nascondono la versione, al fine di evitare che gli strumenti di scansione riescano ad individuarla. L’uso di questi plugin è una buona pratica in quanto rappresenta un ottimo deterrente contro le scansioni automatizzate, cosa che però non deve esimere gli amministratori, comunque, a mantenere aggiornato il CMS.
Nonostante il lieve miglioramento rispetto al monitoraggio dell’anno precedente, i numeri non sono complessivamente confortanti, soprattutto se consideriamo che al momento del monitoraggio la metà dei domini con un CMS non risulta aggiornato all’ultima versione e che la tipologia di scansione non prevede la verifica dello stato di aggiornamento anche di eventuali plugin installati.
La presenza di plugin vulnerabili mette ovviamente a rischio l’intero Content Management System nonostante quest’ultimo risulti, di base, correttamente aggiornato, conclude il CERT-AGID.