Desgraciadamente, ha llegado el día. Hoy, 30 de septiembre de 2021, a las 16:01:15, caduca el certificado raíz DST Root CA X3. Este certificado de Let’s Encrypt fue utilizado durante muchos años como el certificado raíz para establecer confianza entre dispositivos. Sin embargo, el certificado caduca hoy, y va a dejar sin Internet a millones de dispositivos.
Los certificados raíz son clave para el funcionamiento de Internet hoy en día. Mientras que un certificado para que una web tenga HTTPS tiene una duración de unos pocos años, los certificados raíz se expiden con una duración de décadas. Esto es debido a que los certificados raíz vienen incluidos por defecto en los dispositivos, y son imprescindibles para poder establecer una conexión cifrada con el resto de Internet. Si el certificado raíz está caducado, no se puede establecer una confianza entre el dispositivo y la red.
Una actualización lo soluciona
En la mayoría de dispositivos actuales esto no supone un grave problema, ya que además de que las versiones de software más recientes incluyen certificados más modernos, hay mecanismos de actualización a través de Internet para actualizar el dispositivo e introducir certificados más recientes.
El problema es que hay muchos dispositivos que no cuentan con esos mecanismos de actualización, o que ya han sido abandonados. Un ejemplo lo podemos encontrar en los primeros televisores que incorporaron conexión a Internet, pero llevan más de una década sin recibir soporte en forma de actualizaciones. Por culpa de ello, esos televisores se van a quedar sin Internet.
El certificado DST Root CA X3 fue expedido el 30 de septiembre del año 2000 por Let’s Encrypt, y 21 años después, va a caducar. A las 16:01:15 de hoy, cuando el certificado caduque, clientes como los navegadores web no podrán confiar en el certificado de nuestro dispositivo al haber caducado, y por ello no podrán establecer conexiones con el resto de Internet.
Pero hay dispositivos que llevan años sin actualizar
En el pasado ya ha ocurrido con otros dispositivos que no se habían actualizado con certificados nuevos. Y es que, aunque este certificado se lanzó en el año 2000, ha habido dispositivos que han estado usando ese certificado raíz incluso bien entrada la década de 2010. Por culpa de ello, esos dispositivos iban a tener una vida limitada de menos de 10 años si no recibían actualizamos de software. Y muchos de ellos no la han recibido ni de manera remota ni en forma de archivo que podamos flashear con un USB.
El problema, por tanto, se puede solucionar con una simple actualización. Pero como a las compañías no les importa lo que tenga más de unos pocos años de antigüedad, nos vamos a encontrar con muchos dispositivos que van a quedar invalidados. Así, dispositivos que lleven sin actualizarse desde 2015 probablemente vayan a verse afectados.
En el caso de Android hay un pequeño truco gracias a que el sistema operativo no comprueba la fecha de caducidad de un certificado raíz cuando lo usa. Con ello, Let’s Encrypt va a poder seguir encadenando certificados en ellos mediante el ISRG Root X1 que caduca en 2024, por lo que incluso versiones entre la 7.1.1 y 2.3.6 van a poder seguir funcionando hasta el año 2024 como mínimo.
El problema es que hay otros muchos dispositivos que se van a ver afectados por esto. El listado completo, según Scott Helme, es el siguiente:
- OpenSSL inferior a 1.0.2
- Windows inferior a XP SP3
- macOS inferior a 10.12.1
- iOS inferior a 10 (todo lo anterior al iPhone 5 se queda sin poder navegar)
- Android inferior a 7.1.1 (o 2.3.6 si se usa la firma cruzada con el ISRG Root X1)
- Mozilla Firefox inferior a 50
- Ubuntu inferior a 16.04
- Debian inferior a 8
- Java 8 inferior a 8u141
- Java 7 inferior a 7u151
- NSS inferior a 3.26
- Amazon FireOS (Silk Browser)
Más allá de esos, hay otros que pueden fallar, como:
- Cyanogen inferior a v10
- Jolla Sailfish OS inferior a v1.1.2.16
- Kindle inferior a v3.4.1
- Blackberry inferior o igual a 10.3.3
- PS4 con firmware 5.00 o menor
- Internet Information Services
- Consolas Wii