Edge su Windows 10 non apre più la maggior parte dei siti perché “non può verificare i certificati”? In questo caso reale la causa non era solo software: un malware aggressivo (WebDiscover e affini) ha nascosto per giorni un adattatore Wi‑Fi USB difettoso. Ecco diagnosi completa, procedura risolutiva e prevenzione.
Contesto del caso reale
Su un PC con Windows 10, subito dopo l’uscita dall’account Microsoft del computer, Microsoft Edge ha iniziato a bloccare la navigazione: compariva l’avviso che i certificati dei siti non potevano essere verificati. La sincronizzazione di data/ora falliva, gli aggiornamenti di Windows non riuscivano a scaricare le patch e qualsiasi portale con autenticazione o HTTPS rigoroso risultava inaccessibile.
Scenario e sintomi
- In Microsoft Edge compaiono errori relativi alla convalida dei certificati TLS; alcuni siti si aprono solo in parte, molti non si aprono affatto.
- La sincronizzazione di data e ora non riesce; l’orologio di sistema si desincronizza dopo il logout dall’account Microsoft.
- Windows Update non installa aggiornamenti, in particolare i pacchetti di certificati radice.
- La rete appare instabile: a volte cade il Wi‑Fi, altre volte anche l’Ethernet risulta “limitata”.
Diagnosi effettiva a posteriori
Infezione da malware su vasta scala
Era presente il programma indesiderato WebDiscover Browser insieme ad altri componenti potenzialmente pericolosi che intercettavano il traffico HTTPS e/o alteravano lo stack di rete. L’intercettazione TLS tipicamente inserisce certificati fasulli, modifica impostazioni proxy e può corrompere i percorsi di convalida dei certificati.
Adattatore di rete USB guasto
Una volta rimossa la componente malevola, Edge e Windows hanno finalmente iniziato a segnalare errori di rete coerenti con un problema fisico. La sostituzione dell’adattatore Wi‑Fi USB ha ripristinato la convalida dei certificati. Il guasto, in alcune circostanze, impattava anche la rete cablata a causa di conflitti driver/stack.
Conclusione chiave: la presenza del malware ha mascherato il difetto hardware, allungando notevolmente i tempi di diagnosi.
Perché succede tecnicamente
La connessione HTTPS si basa su tre pilastri:
- Catena di fiducia dei certificati: il sistema deve conoscere e fidarsi della CA che ha firmato il certificato del sito (archivio certificati radice).
- Correttezza dell’orologio: se data/ora sono errate, i certificati risultano “non ancora validi” o “scaduti”.
- Integrità dello stack di rete: driver e hardware devono trasferire i pacchetti senza corruzioni o interruzioni che rompono il handshake TLS.
Un adware o malware può introdurre un certificato fasullo o un proxy MITM; un NIC difettoso o un driver instabile può provocare errori sporadici durante l’handshake, che Edge riporta come impossibilità a verificare i certificati. Se nel frattempo Windows non riesce a sincronizzare l’ora o a scaricare le nuove radici di fiducia, il problema si amplifica e sembra “universale”.
Tentativi preliminari non risolutivi
- Ripristino rete e router, flush DNS, cambio DNS, reset del firewall.
- Correzione manuale di data/ora/regione e attivazione della regolazione automatica.
- Disinstallazione antivirus di terze parti, numerose scansioni, avvio in safe mode.
- Nuovi profili utente; reinstallazioni di Edge, Chrome e Firefox.
- Ricerca aggiornamenti Windows (bloccati perché i pacchetti di certificati erano inaccessibili).
Questi interventi possono essere utili in condizioni normali, ma sono insufficienti quando co-esistono un dirottamento HTTPS e un difetto fisico della scheda di rete.
Procedura che ha risolto il problema
| Fase | Azioni chiave | Esito |
|---|---|---|
| 1. Bonifica malware | 10 scansioni con Spybot Search & Destroy + 4 con Windows Defender; disinstallazione completa di WebDiscover Browser e add-on correlati | Rimozione di tutte le minacce che agganciavano il traffico HTTPS |
| 2. Identificazione hardware difettoso | Con il malware neutralizzato, Edge ha iniziato a mostrare errori di rete coerenti; test sostituendo l’adattatore Wi‑Fi USB e provando l’Ethernet | L’adattatore era guasto; con uno nuovo (o con Ethernet) i certificati vengono validati correttamente |
Checklist rapida di diagnosi
| Passo | Strumento | Risultato atteso | Interpretazione |
|---|---|---|---|
| Disconnetti servizi sospetti | Task Manager → Avvio | App & funzionalità | Niente browser “alternativi” non richiesti, toolbar, proxy non autorizzati | Presenza di WebDiscover o simili = forte indizio di MITM |
| Sincronizza l’orologio | w32tm /resync | Sincronizzazione riuscita, ora corretta | Se fallisce, probabile problema di rete/servizi |
| Prova una rete differente | Ethernet dedicata o hotspot | HTTPS torna a funzionare | Se funziona altrove, il NIC/driver originale è sospetto |
| Controlla proxy e certificati | Opzioni Internet → Connessioni → Impostazioni LAN; certmgr.msc | Nessun proxy forzato; radici affidabili non alterate | Voci sconosciute = possibile MITM |
| Verifica integrità sistema | sfc e DISM | Nessun file corrotto | Errori persistenti = intervenire su immagine/driver |
| Eventi TLS | Visualizzatore eventi → Schannel | Errori TLS coerenti e ripetuti | Pattern costante = guasto HW/driver o MITM |
| Test di download aggiornamenti | Windows Update | Download e installazione regolari | Blocchi su certificati = problema ancora presente |
Guida passo‑passo dettagliata
Bonifica completa del sistema
- Isola il PC: disattiva temporaneamente il Wi‑Fi e scollega cavi sospetti. Evita credenziali e pagamenti fino a bonifica completata.
- Rimuovi software sconosciuto: in Impostazioni → App disinstalla WebDiscover Browser e qualsiasi “browser” o toolbar non richiesti. Controlla anche le estensioni di Edge/Chrome/Firefox.
- Esegui una scansione offline con Windows Security (Scansione antivirus di Microsoft Defender → Scansione offline). Ripeti finché non ottieni “nessuna minaccia trovata”.
- Controlla proxy e certificati:
- Opzioni Internet → Connessioni → Impostazioni LAN: togli spunte da “Server proxy” se non previsto.
- Apri
certmgr.msce verifica in Autorità di certificazione radice attendibili che non esistano certificati “sospetti”. Rimuovi solo quelli chiaramente malevoli.
- Ripristina lo stack IP (da Prompt amministratore):
netsh winsock reset netsh int ip reset ipconfig /flushdns netsh winhttp reset proxy - Sincronizza ora e fuso:
w32tm /resync tzutil /s "W. Europe Standard Time"Sostituisci il fuso con quello corretto per la tua area. - Controlla e ripara i file di sistema:
sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth
Verifica e test hardware di rete
- Test con un mezzo alternativo: collega temporaneamente via Ethernet o attiva un hotspot da smartphone. Se i siti HTTPS tornano a funzionare, il problema è nel Wi‑Fi/driver originale.
- Sostituisci l’adattatore Wi‑Fi USB con un modello funzionante. Se possibile prova su un’altra porta USB. Verifica anche con un’altra rete per escludere interferenze locali.
- Reinstalla/aggiorna i driver dal Gestione dispositivi: disinstalla il NIC (con rimozione driver), riavvia, quindi reinstalla il driver più recente disponibile per Windows 10.
- Controlla il Visualizzatore eventi (Registro di sistema → origine Schannel): errori TLS sistematici con disconnessioni casuali puntano a hardware/driver instabile.
- Esegui test di connettività:
ping 1.1.1.1 ping www.microsoft.com nslookup www.microsoft.com PowerShell: Test-NetConnection -ComputerName www.microsoft.com -Port 443Se ilpinga un IP pubblico riesce ma i nomi DNS falliscono, indaga DNS; se le porte 443 falliscono in modo intermittente, sospetta il NIC.
Ripristino aggiornamenti e archivio certificati
- Esegui Windows Update finché non risulta “dispositivo aggiornato”. Le patch includono aggiornamenti di certificati radice e migliorano la convalida TLS.
- Ripeti i controlli su Edge: prova siti con HSTS (portali bancari, servizi Microsoft, identity provider). L’assenza di errori conferma il ripristino della catena di fiducia.
Come riconoscere software indesiderato che intercetta HTTPS
- Installa un “browser” che si avvia da solo o aggiunge barre laterali persistenti.
- Imposta un proxy senza consenso e modifica il motore di ricerca.
- Inserisce certificati non firmati da CA riconosciute nell’archivio radice.
- Causa un’ondata di finestre pubblicitarie e pop‑under anche con navigazione pulita.
Consiglio: se non sei certo dell’origine di un certificato in “Radici attendibili”, confronta emittente e scopo. In dubbio, non fidarti e valuta una bonifica profonda.
Segnali tipici di un NIC difettoso
| Sintomo | Possibile causa | Verifica rapida |
|---|---|---|
| HTTPS che fallisce in modo casuale, con siti che a volte caricano e a volte no | Corruzione pacchetti durante il handshake TLS | Con un altro NIC o con Ethernet tutto funziona |
| Lentezza estrema solo su alcuni host o durante l’autenticazione | Errori CRC / ritrasmissioni anomale | Monitoraggio in Gestione Attività: picchi e cali senza motivo |
| Eventi Schannel ripetuti nel registro | Driver instabile o hardware al limite | Aggiorna driver; se persiste, sostituisci NIC |
Errori da evitare
- Formattare subito: prima prova una bonifica mirata; spesso ripristinare rete e certificati è più rapido.
- Affidarsi solo al cambio DNS: se c’è MITM o NIC difettoso, non risolve.
- Disattivare definitivamente l’antivirus: riduce la protezione in un momento critico.
- Rimuovere a caso certificati radice: rischi di rompere servizi legittimi.
Piano di prevenzione
Sicurezza preventiva
- Mantieni l’antivirus attivo e aggiornato; pianifica scansioni ricorrenti.
- Rimuovi prontamente software sospetto (browser “alternativi” sponsorizzati, toolbar, ottimizzatori miracolosi).
Manutenzione hardware e driver
- Verifica regolarmente lo stato dell’adattatore di rete (Wi‑Fi & Ethernet) e aggiorna i driver.
- Conosci i segnali di un NIC difettoso: cadute casuali di HTTPS, lentezza anomala, errori CRC, eventi Schannel ripetuti.
Aggiornamenti di sistema
- Una volta ripristinata la connettività, completa gli update di Windows 10 (incluse le patch di certificati radice).
- Esegui
sfc /scannoweDISM /RestoreHealthse rimangono anomalie.
Gestione account Microsoft
- Se esegui il logout dall’account Microsoft, assicurati di avere almeno un account locale con diritti amministrativi.
- Evita di disattivare servizi legati a ora/certificati; il login online non è obbligatorio, ma semplifica alcune operazioni di sicurezza.
Diagnostica avanzata (opzionale)
Per ambienti IT o casi ostinati:
- Esamina lo stato TLS con PowerShell:
PowerShell: [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 Invoke-WebRequest https://www.microsoft.com -UseBasicParsingUn errore specifico di certificato o handshake aiuta a distinguere MITM da guasto fisico. - Controlla le radici installate di recente:
PowerShell: Get-ChildItem Cert:\LocalMachine\Root | Sort-Object NotBefore -Descending | Select-Object -First 15 Subject, NotBefore, Thumbprint - Verifica trigger del servizio ora:
sc query w32time w32tm /query /status
Domande frequenti
Il logout dall’account Microsoft può bloccare i certificati?
In sé no: non è richiesto per la convalida TLS. Nel caso reale il logout ha coinciso con la comparsa del problema perché il malware e il guasto del NIC hanno impattato orologio, rete e aggiornamenti.
Basta cambiare browser?
No. Se lo stack TLS è compromesso o l’hardware è difettoso, tutti i browser soffriranno.
Posso risolvere solo con un reset di rete?
Può aiutare, ma se esiste un MITM o un NIC guasto non è sufficiente. Segui la sequenza: bonifica → verifica hardware → aggiornamenti.
Come capisco se il problema è hardware o software?
Prova una connessione alternativa (Ethernet o hotspot). Se il problema scompare, il sospetto ricade sul NIC/driver originale. Se resta, indaga malware e certificati.
È sicuro rimuovere certificati sconosciuti?
Rimuovi solo quelli chiaramente malevoli o inseriti da software non autorizzato. In dubbio, crea prima un punto di ripristino.
Riepilogo operativo
- Sintomo: Edge in Windows 10 non verifica i certificati, HTTPS e aggiornamenti bloccati.
- Cause root: combinazione di malware (WebDiscover e simili) + adattatore Wi‑Fi USB difettoso.
- Procedura vincente: bonifica profonda (14 scansioni nel caso reale) → sostituzione NIC → aggiornamenti e verifica TLS.
- Lezioni apprese:
- Il malware può mascherare problemi hardware, complicando la diagnosi.
- Senza rete affidabile, update e sincronizzazione ora falliscono in cascata.
- Una strategia strutturata riduce i tempi rispetto ai tentativi casuali.
Template di azione rapida per i tecnici
- Isolare il dispositivo e fotografare lo stato (screenshot errori Edge/Schannel).
- Disinstallare software sospetto (WebDiscover, toolbar, estensioni).
- Eseguire scansioni multiple con strumenti affidabili fino a “nessuna minaccia”.
- Resettare proxy, Winsock, DNS; sincronizzare ora.
- Testare con rete alternativa; se OK, sostituire NIC/aggiornare driver.
- Avviare Windows Update fino a completamento; eseguire
sfceDISM. - Rieseguire test HTTPS su siti HSTS e verificare l’assenza di errori.
- Concludere con report e raccomandazioni preventive all’utente.
Questo caso dimostra che un messaggio generico come “Edge non può verificare i certificati” può nascondere più cause concatenate. Partire dalla bonifica, passare alla verifica fisica e chiudere con gli aggiornamenti è la ricetta più affidabile per ripristinare la navigazione sicura.