ūüĒä – Apag√≥n tecnol√≥gico – Hoy vence un certificado digital del Windows XP – Ariel Poletti explica que hacer

¡Compartir es demostrar interés!

El 30 de septiembre de 2021, el certificado ra√≠z que¬†Let’s Encrypt est√° utilizando actualmente, el¬†certificado¬†IdentTrust DST Root CA X3, caducar√°. Todos los certificados que impulsan HTTPS en la web son emitidos por una CA, una organizaci√≥n de confianza reconocida por su dispositivo / sistema operativo.

Esta no es la primera vez que caduque un certificado de CA ra√≠z, ni ser√° la √ļltima. Si el certificado ra√≠z en el que se ancla la cadena de certificados ha caducado, es muy probable que falle. Esto sucedi√≥ el a√Īo pasado, el 30 de mayo a las 10:48:38 2020 GMT para ser exactos, cuando la ra√≠z externa de CA de AddTrust expir√≥ y se llev√≥ puestas un mont√≥n de cosas: incluso¬†RedHat tuvo algo que decir¬†sobre el evento.

En circunstancias normales, no valdría la pena hablar de este evento, una CA raíz que expira, porque la transición de un certificado raíz antiguo a un certificado raíz nuevo es completamente transparente. La razón por la que tenemos un problema es porque los clientes no se actualizan con regularidad y, si el cliente no se actualiza, la nueva CA raíz que reemplaza a la antigua CA raíz que vence no se descarga en el dispositivo.

Solo en el √ļltimo a√Īo,¬†Let’s Encrypt ha aumentado¬†bastante su participaci√≥n en el mercado y, a medida que una CA se hace m√°s grande, sus certificados permiten que funcione m√°s la Web y, como resultado, cuando surge algo como esto, tienen el potencial de causar m√°s problemas. Esto no tiene nada que ver con lo que Let’s Encrypt ha hecho, o no ha hecho, todav√≠a se reduce al¬†mismo problema subyacente de que los dispositivos en el ecosistema no se actualizan como deber√≠an.

¬ŅQu√© dispositivos dejar√°n de funcionar?

Todos los dispositivos que cuenten con ese certificado raíz perderán su conectividad:

  • Uno de los clientes notables que se ver√° afectado por este vencimiento es cualquier cosa que dependa de la biblioteca¬†OpenSSL 1.0.2 o anterior, la versi√≥n del 22 de enero de 2015 y la √ļltima actualizaci√≥n como OpenSSL 1.0.2u el 20 de diciembre de 2019.¬†OpenSSL ha publicado¬†una nora en el blog que detalla qu√© acciones pueden tomar los afectados, pero todos requieren una intervenci√≥n manual para evitar roturas.
  • OpenSSL <= 1.0.2
  • Windows < XP SP3
  • macOS < 10.12.1
  • iOS < 10 (iPhone 5 is the lowest model that can get to iOS 10)
  • Android < 7.1.1 (but >= 2.3.6 will work if served ISRG Root X1 cross-sign)
  • Mozilla Firefox < 50
  • Ubuntu < 16.04
  • Debian < 8
  • Java 8 < 8u141
  • Java 7 < 7u151
  • NSS < 3.26
  • Amazon FireOS (Silk Browser)

Estas aplicaciones probablemente también dejen de funcionar:

  • Cyanogen > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • Blackberry >= 10.3.3
  • PS4 game console with firmware >= 5.00
  • IIS [1] [2]

¬ŅC√≥mo evitar que mi dispositivo deje de funcionar?

La soluci√≥n consiste en actualizar los controladores de los dispositivos.¬†Los m√°s modernos no tendr√°n ning√ļn inconveniente¬†ya que las compa√Ī√≠as lanzan actualizaciones constantes para sus √ļltimos productos.

Sin embargo, en muchos casos las empresas consideran obsoletos a sus productos más viejos y no realizan un actualización de software, por lo que actualizar el certificado root será difícil o imposible. Se estima que el 30% de los celulares Android podrían quedar fuera de servicio.

En general, los productos fabricados a partir del 2017 no se verán afectados ya que la mayoría de ellos cuentan con el ISRG Root X1, cuya fecha de caducidad es en junio de 2035.