28 sept 2021

Se vence un certificado raíz ¿Apagón de Internet? Naaa

Este miércoles 30 de septiembre está programado un apagón de Internet. ¿Para tanto? En realidad no. Este "apagón" sucederá normalmente debido al vencimiento de un certificado digital.

El 30 de septiembre de 2021, el certificado raíz que Let's Encrypt está utilizando actualmente, el certificado IdentTrust DST Root CA X3, caducará. Todos los certificados que impulsan HTTPS en la web son emitidos por una CA, una organización de confianza reconocida por su dispositivo / sistema operativo.

Estos certificados están integrados en todos los sistemas operativos y generalmente se actualizan como parte del proceso normal de actualización de su sistema operativo. El certificado aquí que va a causar un problema es este, el IdenTrust DST Root CA X3.

Como se puede ver, el tiempo corre y nos acercamos a la fecha de vencimiento del 30 de septiembre de 2021, pero no es solo una fecha de vencimiento, es una marca de tiempo de vencimiento que llamamos notAfter. Una vez que esta CA raíz haya expirado, los clientes, como los navegadores web, ya no confiarán en los certificados emitidos por esta CA.

Esta no es la primera vez que caduque un certificado de CA raíz, ni será la última. Si el certificado raíz en el que se ancla la cadena de certificados ha caducado, es muy probable que falle. Esto sucedió el año pasado, el 30 de mayo a las 10:48:38 2020 GMT para ser exactos, cuando la raíz externa de CA de AddTrust expiró y se llevó puestas un montón de cosas: incluso RedHat tuvo algo que decir sobre el evento.

En circunstancias normales, no valdría la pena hablar de este evento, una CA raíz que expira, porque la transición de un certificado raíz antiguo a un certificado raíz nuevo es completamente transparente. La razón por la que tenemos un problema es porque los clientes no se actualizan con regularidad y, si el cliente no se actualiza, la nueva CA raíz que reemplaza a la antigua CA raíz que vence no se descarga en el dispositivo.

Solo en el último año, Let's Encrypt ha aumentado bastante su participación en el mercado y, a medida que una CA se hace más grande, sus certificados permiten que funcione más la Web y, como resultado, cuando surge algo como esto, tienen el potencial de causar más problemas. Esto no tiene nada que ver con lo que Let's Encrypt ha hecho, o no ha hecho, todavía se reduce al mismo problema subyacente de que los dispositivos en el ecosistema no se actualizan como deberían.

¿Qué dispositivos dejarán de funcionar?

Todos los dispositivos que cuenten con ese certificado raíz perderán su conectividad:

  • Uno de los clientes notables que se verá afectado por este vencimiento es cualquier cosa que dependa de la biblioteca OpenSSL 1.0.2 o anterior, la versión del 22 de enero de 2015 y la última actualización como OpenSSL 1.0.2u el 20 de diciembre de 2019. OpenSSL ha publicado una nora en el blog que detalla qué acciones pueden tomar los afectados, pero todos requieren una intervención manual para evitar roturas.
  • OpenSSL <= 1.0.2
  • Windows < XP SP3
  • macOS < 10.12.1
  • iOS < 10 (iPhone 5 is the lowest model that can get to iOS 10)
  • Android < 7.1.1 (but >= 2.3.6 will work if served ISRG Root X1 cross-sign)
  • Mozilla Firefox < 50
  • Ubuntu < 16.04
  • Debian < 8
  • Java 8 < 8u141
  • Java 7 < 7u151
  • NSS < 3.26
  • Amazon FireOS (Silk Browser)

Estas aplicaciones probablemente también dejen de funcionar:

  • Cyanogen > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • Blackberry >= 10.3.3
  • PS4 game console with firmware >= 5.00
  • IIS [1] [2]

¿Cómo evitar que mi dispositivo deje de funcionar?

La solución consiste en actualizar los controladores de los dispositivos. Los más modernos no tendrán ningún inconveniente ya que las compañías lanzan actualizaciones constantes para sus últimos productos.

Sin embargo, en muchos casos las empresas consideran obsoletos a sus productos más viejos y no realizan un actualización de software, por lo que actualizar el certificado root será difícil o imposible. Se estima que el 30% de los celulares Android podrían quedar fuera de servicio.

En general, los productos fabricados a partir del 2017 no se verán afectados ya que la mayoría de ellos cuentan con el ISRG Root X1, cuya fecha de caducidad es en junio de 2035.

Aquí se puede hacer una verificación de funcionamiento

Posible Solución

Descargar el certificado desde: https://letsencrypt.org/certificates/

  • SRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1: Self-signed: der, pem, txt

Luego almacenar el archivo con extensión ".crt" o ".cer" e instalarlo manualmente en el equipo afectado.

Fuente: Scott Helme | Let's Encrypt

Suscríbete a nuestro Boletín

31 comentarios:

  1. Años atrás cuando no había encriptación en la web estos problemas de ahora que se te vence el certificado no existían y todos eramos felices y libres navegando por el ciberespacio! Que buenos tiempos aquellos !

    ResponderBorrar
  2. En el caso de equipos con Windows XP SP3 hay alguna solución posible? Tengo muchas VMs corriendo ese sistema operativo por compatibilidad con el bendito Sistema María, que solo es soportado por Windows XP.

    ResponderBorrar
    Respuestas
    1. Menos mal! Muchas gracias por tu respuesta!

      Borrar
    2. Usar Firefox, ya que que emite sus propios certificados.
      En Windows XP SP3, es el unico navegador que funciona !!

      Borrar
  3. Windows 7 SP1 contra certificados letsencript tambien esta fallando.

    ResponderBorrar
  4. Tengo windows sp2... Socorrito...¿que hago?

    ResponderBorrar
  5. Lets encrypt ha explicado procedimientos manuales para corregir el problema en múltiples casos, dependiendo del tipo de dispositivo.

    En lugar de dejar la pregunta aquí y que nadie te conteste, a todo el mundo le recomiendo que se les el post de lets encrypt al respecto.

    ResponderBorrar
  6. Hola quisiera saber si iPhone 4s tendrá ese problema dado que tengo uno y cuáles son las soluciones que me pueden dar y de seguir usándolo solo me afectaría el navegador o también las aplicaciones

    ResponderBorrar
  7. a mi me dejo de andar el steam de un juego no se puede parchear ese certificado la firma de ese sertificado?

    ResponderBorrar
  8. Yo tengo windows 10, actualizado al dia de hoy, con el chrome actualizado tambien, y no hay forma de solucionar el problema de certificados. Ya no se que hacer!!

    ResponderBorrar
  9. Alguien sabe como hacer con las mac que ya no funcionan?

    ResponderBorrar
  10. Uno pude ir al sitio oficial de la entidad certificante Let's Encrypt, descargas el certificado digital ISRG Root X1, codificado en DER, se le pone extensión .crt que es la que le encanta a Windows y luego en IE o en Chrome se lo agrega en la sección certificados, autoridad certificante !

    ResponderBorrar
    Respuestas
    1. así es, yo tengo el archivo del certificado, es extension .cer y funciona todo ok!

      Borrar
    2. no encuentro el enlace de descarga del certificado o no soy capaz de verlo. podeis postear la url y asi todos sabemos donde esta?

      Borrar
    3. Claro !
      En Google buscas: ISRG Root X1 Let's Encrypt

      te aparecerá:

      https://letsencrypt.org/certificates/

      Luego en la página web, buscas
      "Root Certificates:"
      · Active
      · ISRG Root X1
      Self-signed: der, pem, txt

      Haces click con el botón derecho en , luego seleccionas en el menú contextual "grabar enlace como", lo gurdas con extensión .crt o .cer
      y ahí lo tenes !


      Borrar
    4. gracias esta es al solucion

      Borrar
    5. Hola, pero ¿Se da en der, pem, o txt?

      Borrar
    6. No todo tiene que ser como quiere Windows!

      Borrar
    7. Pero en dónde se pone ese enlace? En qué carpeta?

      Borrar
  11. mucha gente amiga con equipos con windows 7 y chrome actualizado, no pudiendo acceder a muchos sitios (ej el diario el dia) aun no esta claro, o no leo nadie que lo ponga claro, cual es la solucion para estos innumerables casos en los que el certificado o se actualizo en forma automatica

    gracias

    ResponderBorrar
  12. Windows 7 no tiene este problema si esta actualizado !

    ResponderBorrar
  13. Hola, estuve desesperado como muchos y dejo el link de un video que me ayudo https://www.youtube.com/watch?v=HQakqbfI4uk confien, hice la solucion del men ese y sí que sirvió, salu2

    ResponderBorrar
    Respuestas
    1. GENTE SOLO DESCARGAR DE SITIOS OFICIALES !! No confiarse nunca de quienes te dicen que descargues archivos DE PROCEDENCIA DESCONOCIDA !!

      Borrar
    2. Gracias, excelente el video de youtube. Solucioné para win7. Ahora tengo el mismo quilombo en el chrome de Android 7. Saben si es el MISMO certificado que para win7? Y cómo importarlo?

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!