Let's Encrypt, uno de los mayores proveedores HTTPS (protocolo seguro de transferencias de hipertexto), dejará de usar desde este jueves 30 de septiembre el certificado raíz que aplicaba en los dispositivos más antiguos con acceso a internet. Lo que afectará el acceso de millones de dispositivos a la red. 

¿Qué significa esto?

Certificados de seguridad

Para entender este tema se debe comprender primero qué es un certificado de seguridad. Este protocolo garantiza que nadie pueda interceptar y robar los datos en tránsito que se intercambian entre un usuario y la página web a la que ingresa.

El investigador de seguridad Scott Helme, informó que al vencer el certificado IdentTrust DST Root CA X3 las computadoras, los dispositivos y los clientes web, como los navegadores, no confiarán en este protocolo y el acceso quedará restringido.

¿A cuánta gente afectará?

Para la inmensa mayoría de los usuarios de sitios web no hay nada de qué preocuparse y el 30 de septiembre seguirá funcionando el acceso como de costumbre. Los dispositivos más antiguos serán los que tendrán problemas. 

¿Esto ya pasó antes?

En mayo pasado venció un certificado de AddTrust provocando problemas en los servidores de aplicaciones como Stripe, Red Hat y Roku, que sufrieron cortes de servicio.

"Dada la diferencia de tamaño relativo entre Let's Encrypt y AddTrust, tengo la sensación de que el vencimiento de la raíz de IdenTrust tiene el potencial de causar más problemas", advirtió Helme en una publicación de su blog.

Los dispositivos que probablemente se verán afectados por la caducidad del certificado son aquellos que no se actualizan con regularidad, como los sistemas integrados que están diseñados para no hacerlo automáticamente o los teléfonos inteligentes que ejecutan versiones de software de hace varios años. 

Computadoras y consolas afectadas

Se verán con problemas los usuarios que ejecutan versiones anteriores de macOS 2016 y Windows XP (con Service Pack 3) enfrenten problemas, junto con clientes que dependen de OpenSSL 1.0.2 o anterior, y PlayStations más antiguas que no se han actualizado a un firmware más nuevo.

Sistema operativo Android

Android, en palabras de Let's Encrypt , tiene un "problema de larga data y bien conocido con las actualizaciones del sistema operativo"

Android hizo la transición a su propio certificado ISRG Root X1, que no vence hasta 2035. Si bien muchos dispositivos Android aún no confían en este certificado, es decir, versiones de Android (Nougat) 7.1.1 y anteriores, Let's Encrypt obtuvo un firma cruzada para su propio certificado que es válido por más tiempo, lo que significa que la mayoría de los dispositivos Android deben permanecer sin consecuencias durante tres años más.

Algunos dispositivos Android aún pueden tener problemas, dijo Let's Encrypt, y recomienda que los usuarios que ejecutan Android (Lollipop) 5.0 instalen Firefox.

“Para el navegador integrado de un teléfono Android, la lista de certificados raíz de confianza proviene del sistema operativo, que está desactualizado en estos teléfonos más antiguos”, explica Let's Encrypt. "Sin embargo, Firefox es actualmente único entre los navegadores: se envía con su propia lista de certificados raíz de confianza".

Es difícil predecir lo que sucederá el 30 de septiembre, pero como dice Helme: "Al menos algo, en algún lugar se va a romper".

Comentarios