Se vence un certificado raíz ¿Apagón de Internet? Naaa
Este miércoles 30 de septiembre está programado un apagón de Internet. ¿Para tanto? En realidad no. Este "apagón" sucederá normalmente debido al vencimiento de un certificado digital.
El 30 de septiembre de 2021, el certificado raíz que Let's Encrypt está utilizando actualmente, el certificado IdentTrust DST Root CA X3, caducará. Todos los certificados que impulsan HTTPS en la web son emitidos por una CA, una organización de confianza reconocida por su dispositivo / sistema operativo.
Estos certificados están integrados en todos los sistemas operativos y generalmente se actualizan como parte del proceso normal de actualización de su sistema operativo. El certificado aquí que va a causar un problema es este, el IdenTrust DST Root CA X3.
Como se puede ver, el tiempo corre y nos acercamos a la fecha de vencimiento del 30 de septiembre de 2021, pero no es solo una fecha de vencimiento, es una marca de tiempo de vencimiento que llamamos notAfter. Una vez que esta CA raíz haya expirado, los clientes, como los navegadores web, ya no confiarán en los certificados emitidos por esta CA.
Esta no es la primera vez que caduque un certificado de CA raíz, ni será la última. Si el certificado raíz en el que se ancla la cadena de certificados ha caducado, es muy probable que falle. Esto sucedió el año pasado, el 30 de mayo a las 10:48:38 2020 GMT para ser exactos, cuando la raíz externa de CA de AddTrust expiró y se llevó puestas un montón de cosas: incluso RedHat tuvo algo que decir sobre el evento.
En circunstancias normales, no valdría la pena hablar de este evento, una CA raíz que expira, porque la transición de un certificado raíz antiguo a un certificado raíz nuevo es completamente transparente. La razón por la que tenemos un problema es porque los clientes no se actualizan con regularidad y, si el cliente no se actualiza, la nueva CA raíz que reemplaza a la antigua CA raíz que vence no se descarga en el dispositivo.
Solo en el último año, Let's Encrypt ha aumentado bastante su participación en el mercado y, a medida que una CA se hace más grande, sus certificados permiten que funcione más la Web y, como resultado, cuando surge algo como esto, tienen el potencial de causar más problemas. Esto no tiene nada que ver con lo que Let's Encrypt ha hecho, o no ha hecho, todavía se reduce al mismo problema subyacente de que los dispositivos en el ecosistema no se actualizan como deberían.
¿Qué dispositivos dejarán de funcionar?
Todos los dispositivos que cuenten con ese certificado raíz perderán su
conectividad:
- Uno de los clientes notables que se verá afectado por este vencimiento es cualquier cosa que dependa de la biblioteca OpenSSL 1.0.2 o anterior, la versión del 22 de enero de 2015 y la última actualización como OpenSSL 1.0.2u el 20 de diciembre de 2019. OpenSSL ha publicado una nora en el blog que detalla qué acciones pueden tomar los afectados, pero todos requieren una intervención manual para evitar roturas.
- OpenSSL <= 1.0.2
- Windows < XP SP3
- macOS < 10.12.1
- iOS < 10 (iPhone 5 is the lowest model that can get to iOS 10)
- Android < 7.1.1 (but >= 2.3.6 will work if served ISRG Root X1 cross-sign)
- Mozilla Firefox < 50
- Ubuntu < 16.04
- Debian < 8
- Java 8 < 8u141
- Java 7 < 7u151
- NSS < 3.26
- Amazon FireOS (Silk Browser)
Estas aplicaciones probablemente también dejen de funcionar:
- Cyanogen > v10
- Jolla Sailfish OS > v1.1.2.16
- Kindle > v3.4.1
- Blackberry >= 10.3.3
- PS4 game console with firmware >= 5.00
- IIS [1] [2]
¿Cómo evitar que mi dispositivo deje de funcionar?
La solución consiste en actualizar los controladores de los dispositivos. Los más modernos no tendrán ningún inconveniente ya que las compañías lanzan actualizaciones constantes para sus últimos productos.
Sin embargo, en muchos casos las empresas consideran obsoletos a sus productos más viejos y no realizan un actualización de software, por lo que actualizar el certificado root será difícil o imposible. Se estima que el 30% de los celulares Android podrían quedar fuera de servicio.
En general, los productos fabricados a partir del 2017 no se verán afectados ya que la mayoría de ellos cuentan con el ISRG Root X1, cuya fecha de caducidad es en junio de 2035.
Aquí se puede hacer una verificación de funcionamiento
Posible Solución
Descargar el certificado desde: https://letsencrypt.org/certificates/
- SRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1: Self-signed: der, pem, txt
Luego almacenar el archivo con extensión ".crt" o ".cer" e instalarlo manualmente en el equipo afectado.
Fuente: Scott Helme | Let's Encrypt
Años atrás cuando no había encriptación en la web estos problemas de ahora que se te vence el certificado no existían y todos eramos felices y libres navegando por el ciberespacio! Que buenos tiempos aquellos !
ResponderBorrarAsí es. Ud. lo ha dicho.
BorrarTan viejos
BorrarEn el caso de equipos con Windows XP SP3 hay alguna solución posible? Tengo muchas VMs corriendo ese sistema operativo por compatibilidad con el bendito Sistema María, que solo es soportado por Windows XP.
ResponderBorrarEs Windows < XP SP3
BorrarMenos mal! Muchas gracias por tu respuesta!
BorrarUsar Firefox, ya que que emite sus propios certificados.
BorrarEn Windows XP SP3, es el unico navegador que funciona !!
Windows 7 SP1 contra certificados letsencript tambien esta fallando.
ResponderBorrarTengo windows sp2... Socorrito...¿que hago?
ResponderBorrarUsar Firefox !!!
BorrarInstala el sp3
BorrarPero para instalar un Firefox que funcione tengo que pasar antes a windows xp sp3, ¿cierto?
BorrarLets encrypt ha explicado procedimientos manuales para corregir el problema en múltiples casos, dependiendo del tipo de dispositivo.
ResponderBorrarEn lugar de dejar la pregunta aquí y que nadie te conteste, a todo el mundo le recomiendo que se les el post de lets encrypt al respecto.
Hola quisiera saber si iPhone 4s tendrá ese problema dado que tengo uno y cuáles son las soluciones que me pueden dar y de seguir usándolo solo me afectaría el navegador o también las aplicaciones
ResponderBorrara mi me dejo de andar el steam de un juego no se puede parchear ese certificado la firma de ese sertificado?
ResponderBorrarYo tengo windows 10, actualizado al dia de hoy, con el chrome actualizado tambien, y no hay forma de solucionar el problema de certificados. Ya no se que hacer!!
ResponderBorrarImportalos de otro equipo
BorrarAlguien sabe como hacer con las mac que ya no funcionan?
ResponderBorrarUno pude ir al sitio oficial de la entidad certificante Let's Encrypt, descargas el certificado digital ISRG Root X1, codificado en DER, se le pone extensión .crt que es la que le encanta a Windows y luego en IE o en Chrome se lo agrega en la sección certificados, autoridad certificante !
ResponderBorrarasí es, yo tengo el archivo del certificado, es extension .cer y funciona todo ok!
Borrarno encuentro el enlace de descarga del certificado o no soy capaz de verlo. podeis postear la url y asi todos sabemos donde esta?
BorrarClaro !
BorrarEn Google buscas: ISRG Root X1 Let's Encrypt
te aparecerá:
https://letsencrypt.org/certificates/
Luego en la página web, buscas
"Root Certificates:"
· Active
· ISRG Root X1
Self-signed: der, pem, txt
Haces click con el botón derecho en , luego seleccionas en el menú contextual "grabar enlace como", lo gurdas con extensión .crt o .cer
y ahí lo tenes !
gracias esta es al solucion
BorrarHola, pero ¿Se da en der, pem, o txt?
BorrarNo todo tiene que ser como quiere Windows!
BorrarPero en dónde se pone ese enlace? En qué carpeta?
Borrarmucha gente amiga con equipos con windows 7 y chrome actualizado, no pudiendo acceder a muchos sitios (ej el diario el dia) aun no esta claro, o no leo nadie que lo ponga claro, cual es la solucion para estos innumerables casos en los que el certificado o se actualizo en forma automatica
ResponderBorrargracias
Windows 7 no tiene este problema si esta actualizado !
ResponderBorrarHola, estuve desesperado como muchos y dejo el link de un video que me ayudo https://www.youtube.com/watch?v=HQakqbfI4uk confien, hice la solucion del men ese y sí que sirvió, salu2
ResponderBorrarGENTE SOLO DESCARGAR DE SITIOS OFICIALES !! No confiarse nunca de quienes te dicen que descargues archivos DE PROCEDENCIA DESCONOCIDA !!
BorrarGracias, excelente el video de youtube. Solucioné para win7. Ahora tengo el mismo quilombo en el chrome de Android 7. Saben si es el MISMO certificado que para win7? Y cómo importarlo?
Borrar