… Sitio web que opera con el certificado SSL expirado desde el 7 de mayo
… Dait Gump
El sitio web oficial de la presidencia de Nigeria, Statehouse.gov.ng, ha estado operando con un certificado SSL expirado desde el 7 de mayo de 2025, lo que provoca advertencias del navegador de una conexión insegura. La observación del Whistler ha demostrado.
Esto a pesar de un presupuesto significativo para el mantenimiento de TI. El presupuesto de la Casa del Estado 2025 incluye múltiples líneas de pedido bajo el código 22020404 (mantenimiento de la oficina/equipo de TI), totalizando ₦ 203.35m en ocho asignaciones: ₦ 23.656m, ₦ 2.77m, ₦ 18.01m, ₦ 125.89m, ₦ 7.95m, ₦ 7.65m, ₦ 7.98m y ₦ 10m, respectivamente.
El mismo presupuesto estatal de la Cámara de Representantes tiene múltiples asignaciones bajo títulos no identificados para que se encuentre con miles de millones.
Si bien estos fondos cubren el mantenimiento del equipo de TI, no está claro cuánto se asigna al mantenimiento del sitio web, incluidas las renovaciones de certificados SSL, que son relativamente económicos.
Los expertos en TI advirtieron que la falta de un certificado SSL podría exponer a los usuarios a riesgos como la intercepción de datos y la seguridad comprometida y hacer que el sitio sea vulnerable.
Hasta el jueves, cuando el Whistler hizo la observación final, el certificado permaneció sin renovación.
Un experto en TI explicó a The Whistler la importancia de los certificados SSL. Dijo que cifra las conexiones de los usuarios, asegurando la privacidad y la autenticidad.
Un certificado caducado, por lo tanto, socava estas protecciones.
El sitio web de la Casa del Estado ha estado operando con un certificado de validación de dominio de certificación CA SSL CA SHA SSL. El certificado, emitido por Certum (Unizeto Technologies SA), proporciona un cifrado básico validado por dominio.
Los hallazgos del Whistler mostraron que el costo de un certificado de validación de dominio de certificación CA SHA2, también conocido como SSL comercial de certificación, varía por el proveedor.
En Nigeria, certum.ng enumera el SSL comercial en aproximadamente ₦ 30,000 a ₦ 505,750 anuales para un solo dominio, con la emisión generalmente en minutos debido a la validación de dominio automatizado.
Alternativamente, las opciones gratuitas como ‘Cifrar’ vamos podrían eliminar los costos por completo. Esto plantea preguntas sobre por qué ocurrió el lapso, dado el bajo costo y la disponibilidad de automatización.
Esta no es la primera vez que esto sucede. En abril de 2024, el sitio web Statehouse.gov.ng se informó vulnerable debido al uso de un protocolo HTTP obsoleto en lugar de HTTPS.
Además, en los últimos años, otros sitios web del gobierno federal han enfrentado una expiración de certificados SSL similares, exponiendo desafíos sistémicos para mantener una infraestructura digital segura.
Por ejemplo, en 2024, surgieron informes sobre el sitio web Citizens.cdcu.osgf.gov.ng, el sitio web oficial de la Unidad Central de Coordinación de Entrega (CDCU), que estaba experimentando problemas de SSL intermitentes, aunque estos se resolvieron después de que los medios lo informaron.
Del mismo modo, el sitio web del Plan Nacional de Seguro de Salud (NHIS), nhis.gov.ng, enfrentó críticas en el mismo año por un certificado caducado, que duró cuatro meses.
Estos problemas recurrentes sugieren la falta de gestión o supervisión automatizada de certificados dentro de los sistemas de TI del gobierno.
La Agencia Nacional de Desarrollo de Tecnología de la Información (NITDA), responsable de supervisar los registros de dominio .gov.ng, no ha comentado sobre el certificado caducado. Las llamadas al oficial de relaciones públicas de la agencia, Hadiza Umar, sonó sin respuesta.
Además, un mensaje de texto enviado a ella no fue respondido a partir del momento de la publicación de este informe.
A pesar del mandato de NITDA de seguridad robusta, incluida la certificación SSL, la aplicación parece inconsistente.
Los expertos recomiendan adoptar sistemas automatizados de gestión de certificados, como Sectigo Certificate Manager o Universal SSL de Cloudflare, para evitar tales fallas.
A nivel mundial, se han producido problemas similares. En 2019, más de 80 sitios web del gobierno de los Estados Unidos, incluidos los de la NASA y el Departamento de Justicia, enfrentaron certificados SSL expirados durante un cierre federal, lo que los hace inseguros o inaccesibles, según informes de Netcraft y TechCrunch.
El equipo de TI de la Casa del Estado no ha respondido a las consultas del Whistler al momento de la publicación.
