Decine di certificati HTTPS .gov scadono, pagine web offline a causa dello shutdown del governo di Trump

Secondo i servizi Internet biz Netcraft, oltre 80 certificati TLS utilizzati sui siti web .gov (siti dello Stato Usa) sono scaduti e non sono stati rinnovati.

Ciò ha causato l’impossibilità di accedere a un gruppo di siti .gov protetti da HTTPS . Nel frattempo, alcuni siti, come NIST.gov , sono stati ridimensionati a causa del blocco dei finanziamenti.

Non tutti questi certificati TLS sono scaduti da quando l’impasse sul budget è diventato attivo il 22 dicembre 2018. Ad esempio, un sito Web del Dipartimento di Giustizia degli Stati Uniti ha un certificato TLS dal registrar web Go Daddy che è scaduto il 17 dicembre 2018.

Ma altri siti web hanno certificati scaduti più recentemente come il sito web del test Rocket della NASA , che è scaduto il 5 gennaio 2019. Il sito web di Lawrence Berkeley Lab è scaduto l’8 gennaio 2019.

A causa dei certificati scaduti, i visitatori potrebbero avere difficoltà ad accedere ai siti Web interessati o essere avvisati dai messaggi di allerta del browser.

In teoria, osserva Netcraft, il supporto per HTTP Strict Transport Security ( HSTS ) nei browser moderni dovrebbe impedire agli utenti di visitare siti web con certificati non validi. Ma poiché molti siti web governativi non implementano correttamente l’HSTS, i visitatori di questi siti mal configurati saranno comunque in grado di bypassare gli avvisi, aumentando la possibilità di attacchi man-in-the-middle.

La parziale chiusura del governo nasce dall’insistenza del presidente Trump dopo che il Congresso ha approvato un budget nazionale che include  5,7 miliardi di dollari per il muro di confine che in precedenza doveva essere pagato dal Messico. I democratici ora sotto il controllo della Camera dei rappresentanti degli Stati Uniti hanno respinto il piano di Trump, e al momento non c’è alcun evidente interesse per un compromesso. Di conseguenza, si prevede che circa 400.000 dipendenti del governo federale continueranno a lavorare senza retribuzione, e altri 400.000 sono a casa, non retribuiti, in quanto ritenuti non essenziali.

Molte le agenzie governative che limitano le operazioni, compresi i dipartimenti dell’agricoltura, del commercio, della salute, la sicurezza nazionale, l’edilizia abitativa e lo sviluppo urbano, l’interno, la giustizia, i trasporti e il tesoro, per non parlare dell’agenzia di protezione ambientale.

Il mese scorso si è attivato il congelamento dei finanziamenti e il DHS ha emanato le linee guida per l’interruzione del lavoro dichiarando che solo 2008 dei 3.531 dipendenti della Cybersecurity and Infrastructure Security Agency (CISA) di recente costituzione sarebbero rimasti attivi in ​​assenza di finanziamenti. Ciò significa che molti lavori di sicurezza IT saranno lasciati incompiuti. Mentre uno staff rimane attivo presso il NIST per mantenere il database delle vulnerabilità nazionali e i server in esecuzione, la maggior parte dei dipendenti è stata rimandata a casa e il sito web è stato ridotto, ostacolando in qualche modo la ricerca sulla sicurezza.

L’FBI Agents Association, un gruppo che rappresenta quasi 13.000 agenti speciali dell’FBI in servizio attivo, ha inviato una petizione alla Casa Bianca e ai leader del Congresso per avvertire dell’impatto della chiusura dell’agenzia nazionale di polizia. Sebbene alcuni agenti continuino a lavorare, anche se non retribuiti, migliaia di colleghi impiegati rimangono a casa, le loro risorse e indagini sono quindi bloccate.

Il problema pare che non si risolverà molto presto ed aggraverà la situazione molto delicata della sicurezza nazionale Usa.