Caduca un certificado raíz SSL que afectará dispositivos antiguos sin soporte

Hoy, jueves 30 de septiembre de 2021, el certificado raíz que Let's Encrypt está utilizando actualmente, el certificado IdentTrust DST Root CA X3, caduca. Todos los certificados que impulsan HTTPS en la web son emitidos por una CA (Entidad Certificadora), una organización de confianza reconocida por su dispositivo / sistema operativo. Se estima que el 30% de los teléfonos con Android podrían quedar afectados.

 

 

 

 Estos certificados están integrados en todos los sistemas operativos y generalmente se actualizan como parte del proceso normal de actualización de su sistema operativo. El certificado aquí que va a causar un problema es este, el IdenTrust DST Root CA X3.

 

En circunstancias normales, no valdría la pena hablar de este evento, una CA raíz que expira, porque la transición de un certificado raíz antiguo a un certificado raíz nuevo es completamente transparente. La razón por la que tenemos un problema es porque los clientes no se actualizan con regularidad y, si el cliente no se actualiza, la nueva CA raíz que reemplaza a la antigua CA raíz que vence no se descarga en el dispositivo.

Solo en el último año, Let's Encrypt ha aumentado bastante su participación en el mercado y, a medida que una CA se hace más grande, sus certificados permiten que funcione más la Web y, como resultado, cuando surge algo como esto, tienen el potencial de causar más problemas. Esto no tiene nada que ver con lo que Let's Encrypt ha hecho, o no ha hecho, todavía se reduce al mismo problema subyacente de que los dispositivos en el ecosistema no se actualizan como deberían. 

¿Qué dispositivos se verán afectados ?

Todos los dispositivos que cuenten con ese certificado raíz perderán su conectividad:

• OpenSSL inferior a 1.0.2
• Windows XP inferior a XP SP3
• macOS inferior a 10.12.1
• iOS interior a 10: los iPhone anteriores al 5 no tendrán acceso a Internet
• Android inferior a 7.1.1, o 2.3.6 si se utiliza la firma cruzada con el ISRG Root X1
• Mozilla Firefox inferior a 50
• Ubuntu inferior a 16.04
• Java 8 inferior a 8u141
• Java 7 inferior a 7u151
• Debian inferior a 8
• NSS inferior a 3.26
• Amazon FireOS (Slik Browser)
• PlayStation 4 sin la actualización a firmware 5.00
• Blackberry en versiones inferiores a 10.3.3
• Jolla Sailfich OS inferior a 1.1.2.16

 Uno de los clientes notables que se verá afectado por este vencimiento es cualquier cosa que dependa de la biblioteca OpenSSL 1.0.2 o anterior, la versión del 22 de enero de 2015 y la última actualización como OpenSSL 1.0.2u el 20 de diciembre de 2019. OpenSSL ha publicado una nota en el blog que detalla qué acciones pueden tomar los afectados, pero todos requieren una intervención manual para evitar roturas.

Estas aplicaciones probablemente también dejen de funcionar:

• Cyanogen > v10
• Jolla Sailfish OS > v1.1.2.16
• Kindle > v3.4.1
• Blackberry >= 10.3.3
• PS4 game console with firmware >= 5.00
• IIS [1] [2] 

Versiones Android

 

Posibles Soluciones

 

Solución para los certificados digitales en equipos antiguos:

•  Descargar DER https://letsencrypt.org/certs/isrgrootx1.der
•  Grabarlo con extensión .CRT
•  Instalarlo en el equipo afectado

 

 Fuentes:

https://blog.segu-info.com.ar/2021/09/se-vence-un-certificado-raiz-apagon-de.html