Terzo monitoraggio sull’utilizzo del protocollo HTTPS e sullo stato di aggiornamento dei CMS sui sistemi della PA

16/12/2022

CMS HTTPS

Come previsto dal Piano Triennale per l’informatica nella Pubblica Amministrazione, AgID ha effettuato una nuova rilevazione (di seguito monitoraggio) sull’utilizzo del protocollo HTTPS e lo stato di aggiornamento dei CMS nei sistemi della Pubblica Amministrazione.

Anche per questo terzo monitoraggio sono state utilizzate le metodologie già descritte in precedenza.

Indice dei risultati

Risultati della scansione HTTPS

I siti soggetti a scansione per la verifica del protocollo HTTPS sono raggruppati in quattro categorie come spiegato nel monitoraggio del 2021:

  • Siti senza HTTPS. Sono i siti che non implementano il protocollo HTTPS.
  • Siti con gravi problemi di sicurezza. Sono i siti che hanno HTTPS ma la configurazione adottata è facilmente aggirabile (es: non hanno un certificato valido).
  • Siti malconfigurati. Sono i siti che hanno HTTPS ma la configurazione usata, sebbene non immediatamente vulnerabile, non è più considerata idonea agli standard moderni (es: uso di cifrari CBC).
  • Siti sicuri. Sono i siti che hanno HTTPS e la configurazione è adeguata agli standard moderni.

La percentuale di siti che utilizza una corretta configurazione HTTPS è più che raddoppiata (da 4149 a 9022) rispetto allo scorso anno (2021) e quadruplicata rispetto a due anni fa (erano 1766 nel 2020). Il miglioramento sul fronte dell’utilizzo di HTTPS è principalmente dovuto alle azioni correttive legate alla rimozione del supporto alle versioni obsolete di TLS (TLS 1.0 e 1.1) e, in misura minore, alla forzatura dell’utilizzo di HTTPS tramite redirect da HTTP.

CategoriaAnno 2021%Anno 2022%
Sicuri414922%902247%
Gravi problemi1009253%780241%
Mal configurati454923%221811%
Senza HTTPS3402%2231%

Siti senza HTTPS

Un importante miglioramento riguarda anche la percentuale di siti che non supporta il protocollo HTTPS. Rispetto ai risultati emersi dalla scansione precedente (2021) si è riscontrata una diminuzione del 34% (da 340 a 223 unità) e, rispetto alla scansione di due anni fa, il numero si è dimezzato (erano 445 nel 2020).

Siti con gravi problemi di sicurezza

In questa categoria rientrano i siti con HTTPS facilmente aggirabile (es: certificato non corretto) o debole (es: cifrari con chiavi piccole o senza confidenzialità).

Questa è la categoria più complessa da analizzare: in termini assoluti la recente scansione ha evidenziato una dimuzione di circa 2200 unità di siti problematici.

Nei dettagli si nota però che le principali variazioni sono:

  • Circa 2100 siti hanno implementato il redirect da HTTP ad HTTPS.
  • Sono diminuiti i siti che facevano un redirect verso HTTP di circa 300 unità.
  • C’è stata una diminuzione assoluta di quasi 1800 siti che hanno il certificato non corretto.
  • Sono dimezzati i siti che usano al massimo TLS 1.0 e TLS 1.1 (da circa 4900 a circa 2200).

Si evidenzia quindi un abbandono delle versioni obsolete di TLS che, insieme ad uso corretto del reindirizzamento ad HTTPS ed all’utilizzo di un certificato valido, hanno portato ad un deciso ridimensionamento di questa categoria (dal 53% dei siti totali nel 2021 ad un 41% dei siti del 2022).

Al momento, la maggior parte dei siti della PA (il 47%) usa HTTPS in modo sicuro. Tuttavia i siti con gravi problemi di sicurezza sono ancora piuttosto vicini in termini percentuali (41%).
In questo anno si delinea quindi una dicotomia in cui da una parte ci sono siti correttamente configurati e dall’altra siti che hanno gravi errori di configurazione. Tra le due situazioni, i siti “irrecuperabili” (senza HTTPS) sono relativamente pochi (1%) mentre i restanti (11%) sono “quasi” correttamente configurati.

Problematica20212022
SSL 2.02315
SSL 3.0581390
TLS 1.048642169
TLS 1.149702256
Certificato non valido57703902
Supporta compressione2511
Cifratura nulla00
Cifrari Deboli23931534
Cfrari CBC27141744
Autenticazione nulla2113
Non fa redirect ad HTTPS86426550
Fa redirect su HTTP1308997
Totale (*)100927802

(*) Le problematiche sopra indicate non sono mutuamente esclusive tra loro

Siti malconfigurati

Questa categoria comprende i siti che supportano versioni obsolete di TLS e cifrari CBC per cui sono noti attacchi anche se non di immediata sfruttabilità.

Sebbene, nella sua suddivisione, questa categoria mantenga le percentuali dei siti con TLS 1.x invariate, in termini assoluti si ha un più che abbondante dimezzamento dei siti che usano versioni obsolete di TLS. Questa diminuzione è il principale motivo del raddoppiamento dei siti sicuri. Infatti, una volta abbandonate le versioni obsolete di TLS, questi siti sono risultati in linea con gli standard moderni.

I siti che usano cifrari CBC sono invece rimasti invariati.

ProblematicaAnno 2021%Anno 2022%
TLS 1.0406344183840
TLS 1.1431146187341
Cifrari CBC9221085919

Siti sicuri

Il numero di siti sicuri è più che raddoppiato: per la prima volta sono la fetta più grande della torta (47%). La principale spinta migliorativa è venuta dall’abbandono delle versioni obsolete di TLS, da un migliore uso del redirect verso HTTPS e dall’utilizzo di certificati validi.

Si nota anche un aumento dell’uso del protocollo TLS 1.3, che sono triplicati rispetto alla precedente rilevazione.

Caratteristica20212022
Ciphersuite PFS41319011
TLS 1.317025641

Risultati della scansione CMS

Anche il numero di siti Istituzionali che espongono un CMS aggiornato presenta, in questo monitoraggio, un lieve miglioramento. Allo stato attuale, un quarto dei domini che usa un CMS utilizza una versione aggiornata all’ultima release disponibile. La crescita, rispetto a quanto rilevato nella scansione precedente (2021), è stata dell’ 8%, recuperando di fatto la regressione evidenziata lo scorso anno rispetto al 2020.

Questo lieve miglioramento osservato sul fronte dei CMS è certamente dovuto ad una maggiore consapevolezza delle amministrazioni riguardo ai rischi che comporta l’esposizione di un CMS vulnerabile, agevolato anche dalla semplicità con cui le piattaforme di Content Management System favoriscono la notifica di una nuova versione e provvedono, anche automaticamente, ad applicare gli aggiornamenti necessari a risolvere le criticità riscontrate.

Le tipologie di CMS utilizzati sono rimaste invariate, così come il numero di siti Istituzionali che non dispone di un CMS.

Su un totale di 21700 portali Istituzionali sottoposti a monitoraggio, sono risultati correttamente raggiungibili 18096 siti di cui 9108 utilizzano un CMS per i quali è stato possibile procedere con il rilevamento della sua versione.

Domini (IPA)Domini raggiungibiliDomini con CMS
21700180969108

Tabella riepilogativa riportante i valori calcolati in base ai siti con CMS individuato

CMSAnno 2022%
Aggiornati232225.49%
Non aggiornati486753.44%
Versione non rilevata (*)191921.07%

(*) In questo caso, la scansione ha rilevato la presenza di un CMS ma non è riuscita ad ottenere la versione esatta. Questo valore può essere considerato positivo in quanto è altamente probabile che siano stati installati sul CMS dei plugin di sicurezza che, di default, rimuovono il riconoscimento della versione del CMS, rendendo quindi più difficile il rilevamento tramite scansioni automatizzate.

Rappresentazione grafica dei valori percentuali calcolati in base ai siti con CMS individuato

Comparazione monitoraggio 2021 – 2022 sui domini che espongono un CMS

Il numero di siti Istituzionali che utilizza un CMS correttamente aggiornato è cresciuto dell’8% rispetto alla scansione del 2021. Complessivamente, un quarto dei domini espongono un CMS aggiornato all’ultima versione.

Anno 2021Anno 2022Δ
Domini che espongono un CMS82899108819

Tabella comparativa 2021 – 2022 riportante le percentuali dei domini che espongono un CMS

CMSAnno 2021Anno 2022Δ
Aggiornati17,20%25,49%8,29%
Non aggiornati62,53%53,44%-9,09%
Versione non rilevata20,27%21,07%0,80%

Grafico comparativo 2021 – 2022 delle percentuali dei domini che espongono un CMS

Comparazione monitoraggi 2021 – 2022 rispetto ai domini raggiungibili

Anche il numero di domini correttamente raggiungibili è aumentato del 10% rispetto alla precedente scansione:

Anno 2021Anno 2022Δ
Domini raggiungibili1720318096893

Tabella comparativa monitoraggi 2021 – 2022 sulle percentuali di domini raggiungibili

CMS20212022Δ
Aggiornati8,29%12,83%4,54%
Non aggiornati30,13%26,90%-3,23%
Versione non rilevata9,77%10,60%0,83%
CMS non rilevato/presente51,82%49,67%-2,15%

Grafico comparativo 2021 – 2022 delle percentuali di domini raggiungibili

Tipi di CMS rilevati

Il 57,15% dei siti Istituzionali utilizza il software WordPress come CMS, rivelandosi ancora una volta il CMS più usato nella Pubblica Amministrazione. Seguono Joomla per il 24,71% e Drupal per l’8,72%.

Rispetto al monitoraggio precedente il numero di siti WordPress è cresciuto passando da 4490 a 5205 siti, un incremento totale di 715 siti. Per quanto riguarda l’uso dei CMS Joomla e Drupal i numeri sono rimasti quasi invariati. I restanti CMS risultano utilizzati da appena il 9.5% dei siti Istituzionali.

TIPI DI CMS20212022Δ
WordPress44905205715
Joomla224822513
Drupal801794-7

Rispetto al precedente report, anche il numero di CMS utilizzato è rimasto invariato.

Utilizzo del servizio di autoverifica HTTPS/CMS

Ad un anno esatto dall’esposizione del servizio per la autoverifica della configurazione HTTPS e CMS riservato alla Pubblica Amministrazione, sono state elaborate in totale 549 richieste di analisi provenienti da organizzazioni pubbliche censite su IPA.

Nello specifico, il 54,28% delle richieste proviene da “Comuni e loro Consorzi e Associazioni”.

Tabella riepilogativa dell richieste elaborate

DenominazioneRichieste%
Comuni e loro Consorzi e Associazioni29854.28%
Istituti di Istruzione Statale di Ogni Ordine e Grado478.56%
Federazioni Nazionali193.46%
Gestori di Pubblici Servizi183.28%
Universita’ e Istituti di Istruzione Universitaria Pubblici173.10%
Aziende Sanitarie Locali132.37%
Enti Pubblici Non Economici112.00%
Altri Enti Locali112.00%
Unioni di Comuni e loro Consorzi e Associazioni101.82%
Aziende Ospedaliere81.46%
Province e loro Consorzi e Associazioni81.46%
Enti e Istituzioni di Ricerca Pubblici71.28%
Regioni61.09%
Stazioni Appaltanti61.09%
Istituzioni per l’Alta Formazione Artistica61.09%
Aziende Pubbliche di Servizi alla Persona50.91%
Societa’ in Conto Economico Consolidato50.91%
Agenzie ed Enti Regionali per la Formazione40.73%
Citta’ Metropolitane40.73%
Enti di Regolazione dei Servizi Idrici e o dei Rifiuti40.73%
Autorita’ Portuali40.73%
Agenzie ed Enti Regionali del Lavoro40.73%
Comunita’ Montane e loro Consorzi e Associazioni30.55%
Consorzi Interuniversitari di Ricerca30.55%
Autorita’ Amministrative Indipendenti30.55%
Enti di Previdenza ed Assistenza Sociale in Conto Economico Consolidato privati30.55%
Istituti Zooprofilattici Sperimentali30.55%
Consorzi tra Amministrazioni Locali20.36%
Automobile Club Federati ACI20.36%
Presidenza del Consiglio dei Ministri20.36%
Commissari Straordinari Governativi20.36%
Camere di Commercio20.36%
Enti Pubblici Produttori di Servizi Assistenziali20.36%
Agenzie Fiscali20.36%
Agenzie ed Enti per il Turismo10.18%
Stazioni Appaltanti Gestori di Pubblici Servizi10.18%
Agenzie Regionali per le Erogazioni in Agricoltura10.18%
Enti di Previdenza ed Assistenza Sociale in Conto Economico Consolidato pubblici10.18%

Rappresentazione grafica riportante i valori assoluti

Conclusioni e osservazioni

Questo monitoraggio rileva ancora un trend positivo di miglioramento come già evidenziato nel secondo monitoraggio.

Lo stato del protocollo HTTPS nella PA

Raddoppiano i siti considerabili sicuri, per quel che riguarda l’utilizzo del protocollo HTTPS, e diminuiscono i siti che non lo utilizzano. In questo terzo monitoraggio la tendenza migliorativa principale è stata quella dell’abbandono delle versioni obsolete di TLS ed un aumento dell’utilizzo del redirect da HTTP ad HTTPS.

Nella precedente scansione, la spinta migliorativa principale era stata l’adozione di una corretta interazione tra HTTP e HTTPS (redirect verso HTTPS, eliminazione dei redirect verso HTTP). In quest’ultima, la spinta principale viene dall’aggiornamento della configurazione del protocollo TLS utilizzato, probabilmente dovuto alla pressione esercitata dalla comunità di sviluppatori di librerie che, in sostanza, stanno eliminando il supporto alle versioni pre 1.2. Nel frattempo la diffusione di TLS 1.3 sta avanzando velocemente.

Nella prima scansione effettuata era stato rilevato un solo sito che supportava al massimo SSL3: in questa terza scansione si conferma l’assenza di simili situazioni. Continuano a diminuire i domini che supportano al massimo TLS 1.0 (da 151 a 82) e adesso non vi sono più siti che supportano al massimo TLS 1.1 (prima erano 6).

Per il resto, l’utilizzo di IPv6 è rimasto inviariato al 2% del totale (sceso di 22 unità assolute). Continua lo strano trend per cui ci sono più domini con 4 indirizzi IP di quanti ce ne siano con 3. In entrambi i casi, la percentuale è trascurabile rispetto alla maggioranza di siti che ha un unico indirizzo IP e alla minoranza che ne ha 2.

E’ possibile scaricare, nei link successivi, i documenti in formato PDF con i risultati del monitoraggio sul protocollo HTTPS sui siti della PA per gli anni: 2020,  2021 e 2022.

Il livello di sicurezza dei CMS nella PA

Anche il numero di siti Istituzionali che espongono un CMS aggiornato presenta un lieve miglioramento. La crescita rispetto a quanto rilevato nella scansione precedente ha recuperato di fatto la regressione evidenziata lo scorso anno rispetto al 2020.

Complessivamente, al netto del 21% dei CMS per i quali non è stato possibile rilevare la versione in uso, solo un quarto dei CMS rilevati è risultato sicuramente aggiornato all’ultima release.

Come già evidenziato, sempre più amministrazioni utilizzano CMS, per lo più WordPress, su cui vengono installati plugin “di sicurezza” che di default nascondono la versione, al fine di evitare che gli strumenti di scansione riescano ad individuarla. L’uso di questi plugin è una buona pratica in quanto rappresenta un ottimo deterrente contro le scansioni automatizzate, cosa che però non deve esimere gli amministratori comunque a mantenere aggiornato il CMS.

Nonostante il lieve miglioramento rispetto al monitoraggio dell’anno precedente, i numeri non sono complessivamente confortanti, soprattutto se consideriamo che al momento del monitoraggio la metà dei domini con un CMS non risulta aggiornato all’ultima versione e che la tipologia di scansione non prevede la verifica dello stato di aggiornamento anche di eventuali plugin installati.

La presenza di plugin vulnerabili mette ovviamente a rischio l’intero Content Management System nonostante quest’ultimo risulti, di base, correttamente aggiornato.

Taggato  CMS HTTPS