Puede que hoy hayas intentado acceder a algún servicio de internet a través de algun viejo dispositivo. Si lo has hecho y te daba error de conexión, no te extrañe: millones de dispositivos —móviles, Smart TVs, ordenadores, e incluso los Kindle de Amazon o consolas como la PS3— están expuestos a un problema común: la expiración de un certificado de seguridad de Let's Encrypt.
Esta empresa se encarga de validar conexiones seguras entre nuestros dispositivos y sitios web o servicios de internet, pero hoy expiraba su certificado Ident Trust DST CA X3. Eso no es problema para la mayoría de usuarios con dispositivos modernos o actualizados, pero la cosa cambia si tu móvil, tu televisión inteligente o tu portátil funciona con un sistema operativo antiguo no actualizado. En ese caso puede que sea imposible que esos dispositivos se conecten a internet.
Qué es eso de los certificados de seguridad. Son pequeños fragmentos de código que validan y cifran las conexiones entre nuestros dispositivos en internet, y garantizan así que nadie puede cotillear en esas transmisiones. Hay otras entidades que ofrecen certificados, pero Let's Encrypt se ha convertido en referente y ahora uno de sus certificados más usados, Ident Trust DST Root CA X3, expira.
Cuándo puedo notar que internet no funciona en mi dispositivo. Cada certificado tiene una fecha de comienzo de validez y una de caducidad, y en este caso el certificado comenzó a ser válido el 30 de septiembre de 2000 a las 21:12:19 GMT (23:12:19 en España peninsular) y expirará el 30 de septiembre de 2021 a las 14:01:15 GMT (16:01:15 en España peninsular).
Pero mi ordenador es moderno. Si es así, no tienes que preocuparte: la lista de dispositivos afectados está compuesta por sistemas con muchos años a sus espaldas. No te enterarás si tus ordenadores cuentan al menos con Windows XP SP3 o superior, con macOS 10.12.1 o superior estará a salvo si actualizaste al Service Pack 3 (abril de 2008). En muchos casos hablamos de actualizaciones y versiones de sistemas operativos que aparecieron hace cinco años, en 2016. Así, no hay problemas para versiones como macOS 10.12.1, iOS 10, o Android 7.1.1 o superiores (con alguna excepción), que ya integraban nuevos certificados.
¿Esto solo afecta a ordenadores y móviles? No. Cualquier dispositivo que hiciera uso de conexiones seguras a internet y que usara este certificado puede acabar por no tener acceso a la red de redes. Televisores inteligentes e incluso la PlayStation 3 o las PS4 (que deben tener un firmware igual o superior al 5.0) podrían perder conexión a internet si no hemos actualizado sus sistemas operativos en estos últimos 4 años. Lo mismo ocurre con los lectores de e-books Amazon Kindle (tienen que estar actualizados a la versión 3.4.1 de su sistema operativo como poco). Por ejemplo, clientes como navegadores web "ya no se fiarán" de esos certificados de confianza de Let's Encrypt si eran los que estaban utilizándose, pero de nuevo eso será raro y si hemos actualizado el navegador alguna vez en los últimos años (Firefox 50.0, lanzado en noviembre de 2016, ya estaba a salvo)o superior no tendremos problemas.
No es la primera vez que pasa. Los certificados expiran de cuando en cuando, y de hecho en 2020 un certificado llamado AddTrust External CA Root expiró y empresas como Roku, Stripe, e incluso Red Hat tuvieron problemas con sus servicios. Esta vez, no obstante, podría ser peor, porque Let's Encrypt emite más certificados —acaban de celebrar la emisión del certificado número dos mil millones— y por tanto más usuarios, dispositivos y empresas podrían verse afectadas si siguen dependiendo de esos certificados que ahora expiran.
Actualizarse o morir quedarse sin internet. Lo único que podemos hacer para resolver el problema o evitarlo es actualizar nuestro dispositivo. Habrá casos en los que no se pueda, pero puede que al menos podamos actualizar por ejemplo móviles Android de hace 6 o 7 años a Android 7.1.1. En Let's Encrypt ya comenzaron la migración al certificado raíz ISRG en 2019, y ese certificado llamado con firma cruzada ISRG Root X1, que ahora está en muchos equipos, no expirará hasta el 30 de septiembre de 2024.
Cuidado con OpenSSL. Si eres empresa o emprendedor con algún servicio en internet que dependa de OpenSSL, atento: en Let's Encrypt indican que si tu software depende de OpenSSL 1.0.2 conviene que realices algunas modificaciones que consisten básicamente en eliminar el certificado raíz DST Root CA X3 para luego añadir el ISRG Root X1. Lo explican todo en su web oficial.
Pues a mí aún me funciona en mi viejo dispositivo. Hay excepciones extrañas a esa expiración, como ocurre con Android: en estos dispositivos es posible tener una versión de Android entre la 2.3.7 y la 7.1.1 que no tenga problemas. La propia comunidad de usuarios de Let's Encrypt —que anunció este potencial problema en mayo de 2021— trata de dar respuesta a casos algo más extraños con dispositivos y servicios varios, y hay quien ofrecía más datos para tratar de evitar problemas sobre todo si tenías servicios con clientes que pudieran verse afectados. Cuando se produjo la expiración del certificado de AddTrust en mayo de 2020 los expertos explicaban cómo la solución puede venir tanto desde el lado servidor como desde el lado cliente. En algunos dispositivos puede ocurrir que la desconexión exista, pero solo sea parcial, y probablemente aquí esa relación entre el certificado del cliente y el del servidor determina si podemos acceder a esos contenidos o no.
Por ahora el impacto ha sido bajo. Aún es pronto para valorar el impacto de esa expiración del certificado, pero de momento no parece haber conflictos relevantes que hayan salido a la luz. Lo cierto es que con este tipo de escenarios hay mucha incertidumbre, y veremos si en los próximos días/semanas realmente se nota si el problema es o no grave. Puede que estando muy relegado a dispositivos antiguos finalmente los efectos colaterales sean mínimos, pero estaremos atentos.
Más información | Let's Encrypt
Ver 54 comentarios