El día de hoy 30 de septiembre, el tiempo de vida del certificado raíz IdenTrust expiro y es que este certificado fue utilizado para firmar el certificado de Let’s Encrypt (ISRG Root X1), controlada por la comunidad y proporcionar certificados de forma gratuita para todos.
La firma aseguró la confianza de los certificados Let’s Encrypt en una amplia gama de dispositivos, sistemas operativos y navegadores al tiempo que integraba el propio certificado raíz de Let’s Encrypt en los almacenes de certificados root.
Originalmente se planeó que después de que DST Root CA X3 esté desactualizado, el proyecto Let’s Encrypt cambiará a generar firmas usando solo su certificado, pero tal paso conduciría a una pérdida de compatibilidad con una gran cantidad de sistemas antiguos que no lo hicieron. En particular, alrededor del 30% de los dispositivos Android en uso no tienen datos sobre el certificado raíz Let’s Encrypt, cuyo soporte apareció solo a partir de la plataforma Android 7.1.1, lanzada a fines de 2016.
Let’s Encrypt no tenía previsto celebrar un nuevo acuerdo de firma cruzada, ya que esto impone una responsabilidad adicional a las partes del acuerdo, las priva de independencia y les ata de las manos en cuanto al cumplimiento de todos los procedimientos y normas de otra autoridad de certificación.
Pero debido a problemas potenciales en una gran cantidad de dispositivos Android, se revisó el plan . Se firmó un nuevo acuerdo con la autoridad de certificación IdenTrust, en virtud del cual se creó un certificado Let’s Encrypt intermedio alternativo con firma cruzada. La firma cruzada tendrá una validez de tres años y seguirá siendo compatible con los dispositivos Android a partir de la versión 2.3.6.
Sin embargo, el nuevo certificado intermedio no cubre muchos otros sistemas heredados. Por ejemplo, después de que el certificado DST Root CA X3 caducp (hoy 30 de septiembre), los certificados Let’s Encrypt ya no se aceptarán en firmware y sistemas operativos no compatibles, en los cuales, para garantizar la confianza en los certificados Let’s Encrypt, deberá agregar manualmente la raíz ISRG. Certificado X1 al almacén de certificados raíz. Los problemas se manifestarán en:
OpenSSL hasta la rama 1.0.2 incluida (el mantenimiento de la rama 1.0.2 se interrumpió en diciembre de 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows <XP SP3
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
En el caso de OpenSSL 1.0.2, el problema está causado por un error que impide el manejo correcto de certificados con firma cruzada si uno de los certificados raíz involucrados en la firma caduca, aunque se conservan otras cadenas de confianza válidas.
El problema surgió por primera vez el año pasado después de la expiración del certificado AddTrust utilizado para la firma cruzada en los certificados de la autoridad de certificación Sectigo (Comodo). El meollo del problema es que OpenSSL analizó el certificado como una cadena lineal, mientras que según RFC 4158, el certificado puede representar un gráfico circular distribuido dirigido con varios anclajes de confianza que deben tenerse en cuenta.
A los usuarios de distribuciones más antiguas basadas en OpenSSL 1.0.2 se les ofrecen tres soluciones para resolver el problema:
- Eliminar manualmente el certificado raíz IdenTrust DST Root CA X3 e instale el certificado raíz ISRG Root X1 independiente (sin firma cruzada) .
- Especificar la opción «–trusted_first» cuando ejecute los comandos openssl verify y s_client.
- Utilizar un certificado en el servidor que esté certificado por un certificado raíz SRG Root X1 independiente que no tenga firma cruzada (Let’s Encrypt ofrece una opción para solicitar dicho certificado). Este método conducirá a la pérdida de compatibilidad con los antiguos clientes de Android.
Además, el proyecto Let’s Encrypt ha superado el hito de los dos mil millones de certificados generados. El hito de mil millones se alcanzó en febrero del año pasado. Cada día se generan 2,2-2,4 millones de nuevos certificados. El número de certificados activos es de 192 millones (el certificado es válido por tres meses) y cubre alrededor de 260 millones de dominios (hace un año cubría 195 millones de dominios, hace dos años – 150 millones, hace tres años – 60 millones).
Según las estadísticas del servicio Firefox Telemetry, la proporción global de solicitudes de página a través de HTTPS es del 82% (hace un año – 81%, hace dos años – 77%, hace tres años – 69%, hace cuatro años – 58%).
Fuente: https://scotthelme.co.uk/