Los certificados caducados en Smart TV: ¿Qué hacer?

Los certificados caducados en Smart TV: ¿Qué hacer?

Alberto García

La mayoría de las conexiones que hacemos a diario están cifradas. Para garantizar ese cifrado, hay empresas como Let’s Encrypt que ofrecen certificados SSL para garantizar que las conexiones son seguras. Sin embargo, esos certificados hay que renovarlos cada cierto tiempo, y hay dispositivos que no lo están haciendo y se están quedando sin Internet como consecuencia.

El pasado 30 de mayo, algunos canales en streaming de Roku dejaron de funcionar, dejando a los usuarios sin servicio y sin saber qué hacer. La compañía confirmó en una publicación que “debido a una caducidad global de certificados, es posible que algunos canales de la plataforma de Roku que dependen de este certificado no funcionen. La solución es instalar una actualización de software manual”. El mismo día, plataformas de pago como Stripe y Spreedly tuvieron problemas por certificados que caducaban ese día.

La importancia de los cifrados y certificados

Para poder usar cifrado SSL y TLS, el servidor tiene que ofrecerle un certificado al usuario que visita una web o usa una app. Estos certificados se pueden renovar con facilidad, pero hay que hacerlos cada cierto número de meses o años. Sin embargo, para que el cliente confíe en esos certificados, su navegador, app o dispositivo tiene que venir con una serie de certificados raíz preinstalados.

Estos certificados tienen una fecha de caducidad más extendida, pudiendo llegar a ser de 20 o 25 años. Sin embargo, esas fechas terminan llegando tarde o temprano, como le ha pasado al AddTrust External CA Root, que caducó el 30 de mayo a las 10:48:38 GMT. Y este no es más que el primer caso, ya que los primeros certificados de este estilo fueron introducidos hace algo más de 20 años, y esa es la vida útil de estos certificados. Por ello, próximamente vamos a ver como muchos dispositivos empiezan a presentar fallos y problemas.

Una de las fechas más problemáticas de los últimos años se registró el 30 de septiembre de 2021, cuando el certificado CA de DST Root CA X3 caducó. Los dispositivos afectados que no se actualizaron, se encontraron con problemas para acceder a Internet, y no pudieron actualizar su certificado desde Internet porque ya no podían acceder, obligando a hacerlo a mano.

En este caso concreto, tras expirar el certificado CA X3 se pueden llegar a producir una serie de problemas en los sistemas. Uno de ellos es que otros certificados que se encuentren relacionados o que dependan de este se consideren inválidos y haya errores. Podría ser que, por ejemplo, aparezca un mensaje de error que indique que se han emitido demasiados certificados para el grupo de dominios en cuestión en un periodo de tiempo concreto. También se pueden generar errores de compatibilidad con el uso de dispositivos dotados del sistema operativo Android. No obstante, esta situación con el certificado DST Root CA X3 no es aislada, sino que encuentra parecido en muchos otros casos que se han ido produciendo a lo largo de los años.

¿Cuál es la solución en este tipo de error? Los profesionales que se encuentren con que uno de sus servidores sufre el problema CA X3, deberán hacer una limpieza de los datos que hubiera almacenados en la caché. Es posible que, incluso así, siga registrándose el error. Si eso es lo que pasa, habrá que solicitar un nuevo certificado que cumpla con las exigencias.

Problemas de actualización en los dispositivos

A eso se le suma el problema de que hay muchos certificados nuevos que no son compatibles con dispositivos existentes, como afirma Scott Helme. Entre ellos encontramos muchos modelos de Smart TV que no son compatibles con el GlobalSign R5 Root lanzado en 2012, con modelos lanzados en 2019 y 2020 que no son compatibles con él, de manera que no pueden usar certificados nuevos que dependan de ese como base. La BBC encontró un pequeño truco instalando certificados intermedios que dependen de otros certificados anteriores que sí pueden estar presentes.

Sin embargo, también tienen que darse ciertas situaciones que, por desgracia, no se dan en la mayoría de dispositivos antiguos. Entre ellas, encontramos que los fabricantes estén dispuestos a actualizar los dispositivos, ya sea de manera remota o que el usuario lo haga de manera manual. E incluso, que haya dispositivos que permitan instalar esas actualizaciones, ya que muchos no lo permiten. Y de los que lo permiten, hay muchos que se pasan meses sin recibir actualizaciones, y cuando se conectan a Internet puede ser demasiado tarde. Un ejemplo puede ser una bombilla inteligente en nuestra segunda residencia, donde, al volver a tras varios meses, puede que el certificado principal esté caducado.

De momento no es un problema grave, pero deberemos estar pendientes si nuestros dispositivos inteligentes empiezan a fallar. Puede que sea una nueva forma de obsolescencia programada pero, de momento, parece ser que tenemos algunas soluciones para solventar el problema. Es aconsejable estar al tanto de las características del producto y ponerse en contacto con el servicio técnico de la compañía en caso de encontrar cualquier fallo en el funcionamiento de nuestros dispositivos.