Scopri le implicazioni del rinnovo dei certificati TLS per Web Apps, Functions e Logic Apps su Azure e le pratiche consigliate.
La gestione dei certificati TLS è un elemento cruciale per la sicurezza e la fiducia nell’ambiente online, particolarmente per piattaforme come Azure di Microsoft, dove applicazioni e funzioni espongono i servizi attraverso il web aziendale. In particolare, rinnovi periodici di certificati possono sollevare interrogativi e preoccupazioni tra i clienti che dipendono da questi servizi per il loro operato quotidiano.
L’ecosistema di Azure garantisce sicurezza attraverso l’emissione di certificati TLS wildcard *.azurewebsites.net, che vengono utilizzati per proteggere i nomi host predefiniti di Web Apps, Functions e Logic Apps (Standard). Tuttavia, ci sono cambiamenti all’orizzonte da tener presente: i certificati intermedi della Microsoft PKI Subordinate CA sono previsti in scadenza il 27 giugno 2024.
Criticalità della rinnovazione dei certificati: Questi certificati sono fondamentali per la crittografia e l’autenticazione tra client e server, giocando un ruolo essenziale nella protezione contro attacchi man-in-the-middle. Una rinnovazione è stata programmata il 13 marzo 2024, con l’introduzione di nuovi certificati Subordinate CA, mentre il certificato root è rimasto invariato, per mantenere la fiducia e l’integrità dei servizi online di Azure.
La natura distribuita e asincrona del processo di rinnovazione significa che non c’è una data esatta per quando il nuovo certificato TLS sarà visibile a ogni singola Web App, Function e Logic App (Standard). Questo cambiamento è confinato al cloud pubblico di Azure, e non interessa i servizi governativi.
Importanza della flessibilità: I clienti non dovrebbero essere impattati da questi aggiornamenti, a patto che le loro applicazioni non abbiano preso una dipendenza rigida dal certificato TLS *.azurewebsites.net, pratiche sconsigliate come il “certificate pinning”. Il certificate pinning restringe le applicazioni ad accettare solo una lista predefinita di CA, chiavi pubbliche o impronte digitali. Questo processo, se applicato al certificato wildcard TLS di Azure, può creare instabilità e interruzioni del servizio all’atto della rotazione dei certificati.
Pratiche consigliate: Si consiglia vivamente di utilizzare domini personalizzati in combinazione con i propri TLS certificate, in modo da evitare le problematiche associate al certificate pinning sui certificati wildcard. Inoltre, gestisci i certificati con cura, poiché i certificati gestiti da App Service potrebbero essere rinnovati in qualsiasi momento, creando analoghi problemi per le applicazioni che dipendono da proprietà certificative stabili.
É buona norma fornire un proprio certificato TLS personalizzato per le applicazioni che richiedono pinning dei certificati, e seguire le raccomandazioni e i best practices indicati nella documentazione ufficiale di Azure App Service. Assicurarsi sempre di essere aggiornati sui processi di rinnovo dei certificati per evitare qualsiasi interruzione imprevista dei servizi forniti.