Lavorare per le PA - Dalla Campania con furore (ed ignoranza)
Data: 30 Settembre 2021
TL;DR:
Clienti imbranati, che pensano di fare i gradassi, che chiamano a supporto anche il loro reparto IT con la convinzione di avere pure ragione, per poi finire nel fare un'enorme figura di merda.
TS;WM:
Da 3 anni a questa parte ci sono stati pochi clienti che hanno fatto fare alle mie palle il giro del mondo in 80s. La situazione è accaduta dal momento che Let's Encrypt aveva aggiornato la propria root CA e chi dispone di apparati di sicurezza interni doveva a sua volta aggiornare questa root CA.
Di seguito la conversazione tra me ed un Cliente che opera in Campania:
Cliente:
Buongiorno, abbiate pazienza ma perché non funziona??? (Screenshot relativo ad un problema sul certificato TLS)
Io:
Gentilissimo, il problema riguarda probabilmente qualche vostro servizio interno (firewall, webproxy, ...) che contiene il vecchio certificato CA di Let's Encrypt, pertanto lo dovete aggiornare. Inoltre potete verificare con altri dispositivi ed altre reti (es. rete dati cellulare) se riscontrate il problema?
Cliente:
$TizioIT, è un problema nostro? Se si, è necessaria una risoluzione. Devo pubblicare dei dati sull'applicativo.
$TizioIT:
Ciao, il sito al momento è funzionante. Il certificato è stato rinnovato oggi dall’azienda che gestisce il portale e che bisogna contattare in casi simili.
Io:
Salve, il certificato è stato aggiornato per un motivo particolare: Let's Encrypt ha aggiornato il certificato CA Root, pertanto era necessario aggiornarlo sui Vostri sistemi interni (come firewall, webproxy ed altro) per ripristinare la corretta navigazione. Alcuni di questi sistemi confrontano quello attuale online con quello salvato "in memoria", con l'aggiornamento abbiamo fatto in modo di forzare il rinnovo di quello "in memoria". Questo problema è accaduto anche con altri clienti, i quali provando da un altro dispositivo e con un'altra rete non aziendale (es. rete dati del cellulare) non hanno riscontrato l'anomalia.
$TizioIT:
L’aggiornamento dei certificati ci ha comportato e comporta un disservizio. Dobbiamo aggiornare i nostri apparecchi di rete e tutto ciò richiede risorse e tempo. Avete aggiornato i certificati ma non sono quelli della “casa” precedente.
Cliente:
Il collega ha perfettamente ragione. Avreste dovuto informarci per tempo del cambio di CA per darci modo di attrezzarci in tal senso. D’altrocanto siete voi che avete deciso di usufruire dei certificati di Let’s Encrypt e non è compito nostro verificarne le scadenze.
Partiamo dal presupposto:
- Il reparto IT del Cliente doveva essere a conoscenza di questa notizia
- Avrebbero dovuto farlo a prescindere visto che non siamo gli unici ad avere / fornire servizi con certificati Let's Encrypt
- Sono degli arroganti della menga
Qui già stavano partendo le Madonne dalla rabbia, ma per grazia e compostezza non ho voluto sfociare in reazioni animalesche.
Pertanto chiedo al Project Manager, spiego la situazione attuale e dopo un tot arriviamo alla seguente risposta:
Gentilissimi buongiorno, mi permetto di intervenire al fine di chiarire quanto più possibile l'accaduto. L'aggiornamento della root CA sarebbe avvenuta anche con qualsiasi altra CA, commerciale o non, visto che è il processo naturale di qualsiasi infrastruttura a chiave pubblica (PKI), come da sempre accade. Nel link riportato nella precedente email, e che per comodità ripropongo (https://scotthelme.co.uk/lets-encrypt-old-root-expiration/), Let's Encrypt ha dichiarato che l'aggiornamento della root CA in scadenza sarebbe avvenuta in maniera trasparente ed automatica su tutti i sistemi come browser, sistemi operativi ed altri software, ed è proprio quello che è accaduto nella stragrande maggioranza dei casi. Hanno inoltre specificato che, qualora ci fossero stati degli inconvenienti, sarebbe bastata la rigenerazione del certificato, ed è quello che abbiamo tempestivamente fatto per consentire ai Vostri sistemi di avere dei dati coerenti e mitigare il problema. Parlare di disservizio in questo contesto è quantomeno fuori luogo visto che l'anomalia veniva riscontrata solo ed esclusivamente navigando il portale dalla vostra rete interna e che comunque accettando l'eccezione sul browser avreste comunque potuto operare sulla gestione dei contenuti. Il reparto tecnico, come di consueto, ha fornito tutto il supporto necessario sia telefonico che email per mettervi nelle condizioni di operare. Per qualsiasi necessità di approfondimento, siamo a vostra completa disposizione.
Ovviamente il Cliente, insieme al TizioIT "Microsoft | CCNA Certified" testa di cazzo, non hanno più risposto, che strano...
L'ultima cosa che vorrei fare è accanirmi contro un Cliente, ma questa è una di quelle eccezioni che mi permetto di prendere.