WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Con quanto anticipo dovrebbero scattare gli avvisi di scadenza del certificato?

Per le PMI, 30 giorni sono un minimo ragionevole per gli avvisi principali, con un avviso aggiuntivo piu ravvicinato se non risolto. La chiave e lasciare tempo sufficiente per l'escalation umana se l'automazione fallisce.

Let's Encrypt e sufficiente per le aziende in produzione?

Di solito si. La qualita operativa del rinnovo, della gestione della catena e della verifica conta piu del prestigio marketing dell'emittente del certificato per la maggior parte delle applicazioni web.

I CDN eliminano il rischio di scadenza del certificato?

No. Riducono il carico operativo, ma serve comunque un inventario degli hostname, visibilita sul rinnovo e validazione che le configurazioni CDN e origin rimangano allineate.

Cosa devo verificare dopo un rinnovo?

Verificate le date di scadenza live, la validita della catena, i redirect da HTTP a HTTPS, la fiducia del browser, i percorsi autenticati chiave e qualsiasi endpoint API o callback che si basa su HTTPS.

Guida alla scadenza dei certificati TLS — Runbook di monitoraggio e rinnovo

Perche la scadenza dei certificati e un rischio a livello dirigenziale

I certificati TLS sono facili da ignorare perche spesso funzionano silenziosamente per mesi. Quando scadono, il risultato e una perdita di fiducia immediata: avvisi del browser, API non funzionanti, login falliti, flussi di pagamento interrotti e ticket di supporto da utenti che pensano che il sito sia stato compromesso.

Per le PMI, la scadenza del certificato di solito non e un problema di crittografia. E un problema di proprieta. Nessuno sa quali domini esistono, chi gestisce il DNS, quale team possiede il CDN o il load balancer, se il rinnovo e automatizzato o come verificare un rollout riuscito dopo l'emissione.

Ecco perche la mentalita giusta e operativa piuttosto che puramente tecnica. La salute dei certificati appartiene ai vostri controlli ricorrenti di affidabilita del sito web, insieme a redirect, header, cookie, asset esposti e disponibilita. Un certificato valido non basta se viene servita la catena sbagliata, se un edge cache obsoleto rimane attivo o se un sottodominio dimenticato presenta ancora un vecchio certificato.

Baseline di monitoraggio che ogni team dovrebbe avere

Iniziate con un inventario completo degli hostname pubblici: dominio root, www, sottodomini prodotto, portali clienti, API, pagine di stato e qualsiasi endpoint legacy ancora raggiungibile da vecchia documentazione o segnalibri degli utenti. I certificati derivano perche i team monitorano solo il dominio principale mentre le superfici periferiche vengono dimenticate.

La vostra baseline dovrebbe includere controlli dell'orizzonte di scadenza, visibilita dell'emittente, copertura SAN, validazione dei redirect e correttezza della catena. Se usate infrastruttura gestita, verificate quale livello termina effettivamente il TLS: CDN, reverse proxy, ingress, application server o un mix. La proprieta e impossibile se l'architettura non e chiara.

Avvisare prima della scadenza con margine sufficiente per l'intervento umano, non solo quando rimangono sette giorni.
Tracciare ogni hostname di produzione, non solo il dominio marketing.
Verificare i redirect da HTTP a HTTPS dopo ogni rinnovo o modifica infrastrutturale.
Confermare che la catena completa dei certificati viene servita correttamente in tutti gli ambienti e le regioni.
Documentare chi e responsabile del rinnovo, delle modifiche DNS, del rollout CDN e della validazione post-rinnovo.

Un runbook di rinnovo pratico

Un buon runbook di rinnovo e breve, noioso e facile da eseguire sotto pressione. Identifica la fonte del certificato, il meccanismo di automazione, il percorso manuale di fallback, gli endpoint di validazione e i passaggi di rollback o escalation in caso di fallimento dell'emissione.

Se usate il rinnovo automatico, testate il percorso completo prima di averne bisogno. I team spesso presumono che l'automazione funzioni perche ha funzionato una volta mesi fa, solo per scoprire che i permessi DNS sono cambiati, le challenge ACME sono bloccate da un firewall o un load balancer serve ancora il bundle precedente.

Dopo il rinnovo, validate dall'esterno della vostra rete. Controllate le date del certificato live, l'emittente e la catena dall'internet pubblico, non solo da un dashboard interno. Se usate un CDN, verificate anche la propagazione edge. Molti incidenti sono causati da infrastruttura parzialmente rinnovata dove una regione o un proxy e rimasto obsoleto.

Cosa verificare dopo un rinnovo

La validazione post-rinnovo deve confermare l'esperienza utente, non solo l'emissione tecnica. Navigate il sito principale, le superfici autenticate e gli endpoint API. Confermate l'assenza di avvisi di fiducia, regressioni di contenuto misto o callback interrotti verso servizi terzi che bloccano le aspettative sui certificati in modo troppo aggressivo.

Questo e anche il momento giusto per ispezionare i controlli adiacenti. Una finestra di rinnovo del certificato e spesso quando i team notano HSTS mancante, cipher deboli, redirect inconsistenti o inventario di domini obsoleto. Se eseguite gia scansioni WarDek regolari, l'evento di rinnovo diventa un checkpoint all'interno di un processo di affidabilita piu ampio piuttosto che un panico isolato.

Il pattern migliore e collegare il monitoraggio dei certificati alle scansioni di sicurezza pianificate e alle review di proprieta. Quando l'inventario dei domini cambia, l'inventario TLS deve cambiare di conseguenza. Quando un sottodominio viene dismesso, il suo certificato e il suo monitoraggio devono essere decommissionati deliberatamente piuttosto che abbandonati.

Pattern di fallimento da eliminare

Il fallimento classico e un sottodominio dimenticato che nessuno possiede finche gli utenti non lo incontrano. Il secondo e l'eccessiva dipendenza da un singolo ingegnere o da un singolo portale del fornitore. Il terzo e presumere che l'automazione dei certificati equivalga a un'igiene HTTPS completa, il che e falso se redirect, header o configurazioni edge sono inconsistenti.

Evitate di conservare le operazioni sui certificati come conoscenza tribale. Mantenete un runbook condiviso, una mappa di proprieta e una checklist di validazione. Se un dominio di produzione esiste, qualcuno dovrebbe sapere perche esiste, come si rinnova e come il team conferma il successo.