LaPoste.fr no disponible debido a un problema de certificado SSL
hace 4 años
El sitio LaPoste.fr no estuvo disponible durante varias horas este jueves por la mañana. En cuestión, un problema del certificado Izenpe surgió diez días antes de su fin de validez.
Los usuarios del sitio de exhibición LaPoste.fr tuvieron una sorpresa esta mañana. Entre las 9 a.m. y hasta el final de la mañana del jueves, el sitio de comercio electrónico y servicios del grupo La Poste no estaba disponible. La causa es un problema de certificado SSL no válido. "Hasta donde sabemos, nada sugiere que este sea un intento de secuestro", explicó Gabriel de Brosses, director de ciberseguridad en Le Groupe La Poste. "Descubrimos que un certificado ya no era válido y bloqueaba el acceso a nuestros servicios". El certificado en cuestión fue proporcionado por la empresa Izenpe ubicada en el País Vasco español y se emitió el 3 de agosto de 2018 para una fecha de vencimiento programada para el 3 de agosto de 2020.
Según nuestra información, el error humano en Izenpe es la causa de este problema de bloqueo. "No tenemos confirmación sobre este punto", respondió Gabriel de Brosses. "Estoy esperando respuestas que procesaremos como parte de un análisis post mortem del incidente, que es más un incidente de TI y de producción que un incidente cibernético". Cuando se le preguntó acerca de haber seleccionado este proveedor de servicios en lugar de Global Sign con el que el grupo La Poste ha firmado un contrato desde 2009, el Sr. de Brosses respondió: “No tengo una visión de por qué Izenpe a nivel operativo. Tenemos varios proveedores de certificados, incluido Global Sign pero también Certinomis. Los contratos funcionan en formularios de pedido, negociamos [con Global Sign] un contrato marco en el que ordenamos de acuerdo con nuestras necesidades y la vida útil de un certificado y no reemplazó desde el principio el de 'Izenpe'.
El certificado de Cifrado de Let & # 39; s creado a toda prisa
Para restablecer el acceso a su sitio, La Poste tomó una decisión urgente: recurrir temporalmente a un certificado SSL gratuito, Let & # 39; s Encrypt, con los posibles riesgos que esto puede representar en términos de ciberseguridad. “La medida que hemos elegido es restaurar el servicio con urgencia. Tomamos lo que fue más rápido de implementar, pero es una solución temporal. Establecimos un certificado para eliminar la falta de disponibilidad de servicios. Tuvimos que hacer un remedio de emergencia para restablecer el servicio desde el momento en que el certificado ya no era válido ”, continúa Gabriel de Brosses. Válido desde el 23 de julio de 2020 para una fecha de finalización de validez del 21 de octubre de 2020, este certificado no está destinado a permanecer en vigor durante mucho tiempo. "Es cuestión de horas, o incluso días a partir de ahora hasta el lunes a más tardar", dice el Sr. de Brosses sin indicar que el certificado planeó reemplazar el de Let & # 39; s Encrypt.
El trabajo de supervisar los períodos de validez de los certificados SSL es un tema complejo. Existe una herramienta dentro de La Poste para alertar y prevenir disfunciones y revocaciones. “Los sitios están bajo vigilancia con detección cada 24 horas. Este incidente ocurrió fuera de esta ventana de vigilancia ”, explica Gabriel de Brosses. Se han lanzado proyectos dentro del grupo para adquirir una cierta cantidad de soluciones para evitar este tipo de incidente en el futuro, pero esto requiere algunas precauciones. "Deben ser compatibles con la arquitectura de nuestros sistemas y no demasiado exigentes", advierte Gabriel de Brosses. El grupo La Poste supervisa 1.500 sitios web y planea cambiar 70 certificados este verano y 130 el próximo verano. "El número de certificados para renovar es muy grande, hay un impacto de producción en los CIO, para mantener la capacidad operativa, la carga se distribuye de acuerdo con un plan de migración tratado a lo largo del tiempo".
Si quieres conocer otros artículos parecidos a LaPoste.fr no disponible debido a un problema de certificado SSL puedes visitar la categoría Otros.
Otras noticias que te pueden interesar