E’ online il servizio per la autoverifica della configurazione HTTPS e CMS riservato alla Pubblica Amministrazione
Il CERT-AGID ha pubblicato un articolo in cui viene illustrata la recente situazione sull’utilizzo del protocollo HTTPS e dei CMS nei siti della Pubblica Amministrazione: Migliora l’utilizzo del protocollo HTTPS nella Pubblica Amministrazione ma i CMS restano poco aggiornati.
L’articolo ha analizzato i dati raccolti da due strumenti di scansione sviluppati internamente dagli analisti del CERT-AGID ed è giunto alla conclusione che lo sforzo necessario per sanare alcune lacune e migliorare la situazione generale non sia poi sempre così drammatico.
In quest’ottica, il CERT-AGID ha riconfigurato gli strumenti già sviluppati per questo scopo, al fine di poter offrire un servizio che consentisse alle amministrazioni di effettuare un controllo, in maniera autonoma, della propria situazione delle configurazioni HTTPS e dei CMS dei siti esposti.
Sebbene lo strumento possa essere utilizzato anche da figure tecniche (presentando alcuni dettagli tecnici), vorremmo chiarire che non è particolarmente rivolto ai sistemisti o agli sviluppatori. Queste figure infatti possono effettuare le dovute verifiche più semplicemente, analizzando i file di configurazione del propri sistemi. L’uso di questo strumento e dei suoi controlli è orientato a far conoscere più formalmente alle Amministrazioni la situazione delle proprie risorse esposte al pubblico, al fine di attuare con proprie risorse le eventuali azioni correttive delle configurazioni inopportune riscontrate ovvero di pianificare l’ ingaggio delle risorse esterne necessarie alla risoluzione degli eventuali problemi.
Al momento è possibile controllare lo stato del protocollo HTTPS e dei CMS dei soli siti censiti nell’Indice PA (IPA).
Come funziona
Il servizio è disponibile all’URL https://cert-agid.gov.it/verifica-https-cms/.
All’utente è richiesto solo di inserire l’URL del portale della propria Amministrazione, così come censito in IPA ed un CAPTCHA di controllo, alllo scopo di evitare abusi sul sistema stesso.
Se il portale/sito non è censito in IPA o è censito erroneamente, il servizio non sarà utilizzabile se non previa correzione/censimento del dato mancante (il tempo di aggiornamento può essere dell’ordine delle 24 ore e comunque non inferiore ad un’ora). Il nostro intento è anche quello di migliorare la qualità dei dati presenti in IPA.
Qualora l’URL inserito corrisponda ad un portale correttamente censito in IPA, il sistema mostrerà gli indirizzi e-mail di riferimento, registrati sempre nell’indice IPA, dell’Amministrazione risultante e ne chiederà conferma.
Se l’utente conferma la volontà di proseguire con i controlli, la richiesta sarà presa in carico dal sistema. All’Amministrazione sarà notificato nella casella e-mail registrata la presa in carico e, ad operazione conclusa, il report in formato PDF con i risultati (insieme ad una guida esplicativa alla sua lettura).
Esempio
E’ possibile scaricare un esempio (fittizio) di report finale da questo link.