La apuesta por los dispositivos constantemente conectados a Internet requiere garantizar una mínima seguridad de sus conexiones, para dificultar que éstas puedan ser intervenidas de alguna forma. Y esa seguridad se garantiza, entre otras formas, mediante el uso de certificados SSL.
Empresas y entidades sin ánimo de lucro como Let’s Encrypt se dedican a expedir estos certificados a los servidores online: son los conocidos como Certificate Authorities (CA). Normalmente, estos certificados deben ser renovados cada pocos años…
…pero, para que los dispositivos conectados a Internet puedan confiar en dichos certificados, deben tener preinstalados ellos mismos su propio tipo de certificados, los ‘certificados raíz’, cuya duración puede prolongarse entre 20-25 años.
Parecía que 20 años no pasarían nunca, ¿verdad?
El problema es que los primeros certificados raíz empezaron a expedirse hace ya, precisamente, dos décadas, por lo que ya han empezado a caducar. Concretamente, el primer certificado raíz expedido por Let’s Encrypt, el IdentTrust DST Root CA X3, expirará dentro de tres días, el 30 de septiembre (a las 16:01:15 hora española, siendo exactos).
Heartbleed y certificados SSL: por qué hay que renovarlos y por qué no se está haciendo bien
Para la mayoría de nuestros dispositivos ése será un día de lo más normal, pues hace tiempo que los proveedores de software y hardware habrán actualizado sus firmwares y sistemas operativos…
…sin embargo, aquellos otros dispositivos abandonados por sus fabricantes tras el fin de su soporte oficial y que, por lo tanto, han dejado de recibir actualizaciones, se verán de pronto sin acceso a la WWW. Eso incluye, por ejemplo,
- Sistemas integrados diseñados para no actualizarse automáticamente.
- Smartphones que ejecutan versiones de software de años de antigüedad.
- Versiones de macOS anteriores a macOS 2016.
- Versiones de MS Windows anteriores a Windows XP Service Pack 3.
- Las PlayStations antiguas que aún no han recibido actualizaciones de firmware.
- En general, todo aquel software basado en OpenSSL 1.0.2 o anterior.
En el caso de Android, Let’s Encrypt ha anunciado que ha lanzado un sistema de firma cruzada que ‘compra’ otros tres años de validez para los dispositivos equipados con Android 7.1.1 o inferior, si bien usuarios que usan versiones a partir de la 5.0 se les recomienda instalar un navegador Firefox para evitar problemas durante la navegación (incluye su propio certificado, al margen del sistema operativo).
Según afirma en su blog el investigador de seguridad Scott Helme, a causa de su gran popularidad la caducidad del IdentTrust DST Root CA X3 causará muchos más problemas que la de AddTrust, otro certificado raíz que ya caducó el pasado mes de mayo, y que ya entonces causó interrupciones en la disponibilidad online de Red Hat, Roku o Stripe:
«Al menos alguna cosa, en algún sitio, se va a romper».
–
La noticia
Miles de dispositivos perderán el acceso a la World Wide Web dentro de 3 días, cuando caduque uno de los primeros certificados SSL
fue publicada originalmente en
Genbeta
por
Marcos Merino
.