Muchos sitios web en Hoswedaje y el resto del mundo, han experimentado problemas esta semana tras la expiración de un certificado raíz proporcionado por Let's Encrypt, una autoridad de certificación (CA) gratuita y abierta utilizada por millones de sitios.

Motivo principal del error de raíz en Let´s Encrypt

Let's Encrypt, que forma parte de la organización sin ánimo de lucro Internet Security Research Group (ISRG), es un proveedor masivo de certificados HTTPS: El pasado mes de febrero, emitió su certificado número mil millones y anunció que daba servicio a casi 192 millones de sitios web.

La caducidad de IdenTrust DST Root CA X3 se produjo el 30 de septiembre; después de esto, los ordenadores, dispositivos y clientes como los navegadores web dejarán de confiar en los certificados que hayan sido emitidos por esta CA.

"Si el certificado raíz en el que se ancla su cadena de certificados está caducado, es muy probable que haga que las cosas fallen", escribe Scott Helme, fundador de Security Header, en una entrada del blog del 20 de septiembre en la que advierte del problema. Esto ocurrió el pasado mes de mayo, cuando la raíz de la CA externa de AddTrust expiró y causó problemas a Roku, Stripe y otras organizaciones. Por esta razón ocurre el Error de certificado SSL.

En la mayoría de las circunstancias, la expiración de una CA raíz no generaría mucha conversación porque la transición de un certificado raíz antiguo a uno nuevo es "completamente transparente", escribe Helme. La razón por la que esta caducidad causa problemas es porque los clientes no se actualizan con regularidad y, en ese caso, la nueva CA que sustituye a la antigua no se descarga en el dispositivo.

Clientes afectados por el error de raíz en Let´s Encrypt

Uno de los clientes notables que todavía se verán afectados por esta caducidad es cualquier cosa que dependa de la biblioteca OpenSSL 1.0.2 o anterior, lanzada el 22 de enero de 2015 y actualizada por última vez como OpenSSL 1.0.2u el 20 de diciembre de 2019. OpenSSL ha publicado una entrada en su blog en la que detalla qué medidas pueden tomar los afectados, pero todas ellas requieren una intervención manual para evitar la rotura, los detalles completos están aquí. El breve resumen de las opciones es:

  1. Eliminar el certificado raíz IdenTrust DST Root CA X3 e instalar manualmente el certificado raíz ISRG Root X1 (no el de firma cruzada).
  2. Si está utilizando comandos OpenSSL como verify o s_client puede añadir la bandera --trusted_first si es posible.
  3. Haga que el servidor sirva una cadena de certificados alternativa que vaya directamente a la Raíz X1 de ISRG (no la de firma cruzada), pero esto romperá los dispositivos Android mencionados anteriormente.

Esta página de documentación de Let's Encrypt contiene una lista de clientes que sólo confían en el certificado IdenTrust DST Root CA X3 y después está la lista de plataformas que confían en ISRG Root X1. He mezclado estas dos listas para producir la siguiente lista de clientes que se romperán después de que el IdenTrust DST Root CA X3 expire.

  • OpenSSL = 2.3.6 funcionará si sirve la firma cruzada ISRG Root X1)
  • Mozilla Firefox < 50
  • Ubuntu < 16.04
  • Debian < 8
  • Java 8 < 8u141
  • Java 7 < 7u151
  • NSS < 3.26
  • Amazon FireOS (Silk Browser)
  • IIS

La respuesta a la pregunta "¿qué pasará cuando caduque el root de IdenTrust?" depende de lo extendidos que estén los tipos de clientes mencionados. No sé qué es lo que está flotando por ahí en la Web, y tampoco sé qué depende de dichas cosas. Pero una cosa que sí sé, sin embargo, es que al menos algo, en algún lugar, se va a romper. Esperamos que te haya servido de ayuda este artículo de Hoswedaje para poder solucionar el Error de certificado SSL.

Accede a más contenido

En Hoswedaje te ofrecemos más información acerca del  Error de certificado SSL cono artículos como: instalar certificado SSL Let´s Encrypt en Plesk y 5 tipos de certificados SSL para proteger tu sitio. Te dejamos estos artículos y si necesitas ayuda contacta con nosotros.

ip publica Si estas interesado en instalar certificado SSL Let´s Encrypt en Plesk pincha aquí.

ip publica Si estas interesado en 5 tipos de certificados SSL para proteger tu sitio web pincha aquí