Let’s Encrypt: cómo reemplazar el certificado de firmas cruzadas DST Root X3

0
40

Extracto de BAEHOST Blog

Let’s Encrypt es una de las principales autoridades de certificación del mundo, y cuenta con aproximadamente el 30% de todos los dominios que utilizan sus certificados.

Todos los certificados emitidos hasta la fecha han sido firmados con el certificado de firmas cruzadas ‘DST Root X3’ de IdenTrust, presente en Windows, macOS, Android y la mayoría de las otras plataformas de software durante años.

Este certificado de firmas cruzadas le ha permitido a Lets Encrypt adquirir la confianza de muchas entidades y plataformas de software. Sin IdenTrust, es posible que Let’s Encrypt nunca hubiese existido. Es por ello que tras su expiración, Lets Encrypt ha decidido usar su propio certificado Root “ISRG Root X1” y solicitarle a las principales plataformas de software que confíen en él.

Lets Encrypt no planea entrar en otro acuerdo de firma cruzada con IdenTrust.

El certificado root de firmas cruzadas DST Root X3 caducará el 01 de septiembre de 2021. Esto implica que Lets Encrypt estaría listo para defenderse por su cuenta y confiar únicamente en su propio certificado root.

Aunque el acuerdo no finaliza hasta septiembre del próximo año, Let’s Encrypt detendrá las firmas cruzadas de forma predeterminada a partir del 11 de enero de 2021. La opción seguirá existiendo para que los sitios y servicios continúen generando certificados con firma cruzada, pero solo hasta septiembre.

Este cambio traerá aparejado algunos problemas de compatibilidad. Algunos software que no se han actualizado desde 2016 aún no confían en el certificado root ISRG Root X1. En particular, esto incluye versiones de Android anteriores a la 7.1.1, lo que significa que las versiones anteriores ya no confiarán en los certificados emitidos por Let’s Encrypt.

El sistema operativo Android tiene un problema de larga data y bien conocido con las actualizaciones del sistema operativo. Hay muchos dispositivos Android en el mundo que tienen sistemas operativos desactualizados.

Las causas son complejas y difíciles de solucionar: para cada teléfono, el fabricante y el operador de telefonía móvil suelen modificar el core del sistema operativo antes de que el usuario final lo reciba. Cuando hay una actualización de Android, tanto el fabricante como el operador de telefonía móvil deben incorporar esos cambios en su versión personalizada antes de enviarla. A menudo, los fabricantes deciden que no vale la pena el esfuerzo.

El resultado es malo para los usuarios que compran estos dispositivos ya que sus sistemas operativos quedan desactualizados por años.

Observando el siguiente gráfico, vemos el nivel de distribución de las diferentes versiones de Android:

Actualmente, el 66,2% de los dispositivos Android ejecutan la versión 7.1 o superior. El 33,8% restante de los dispositivos comenzarán a recibir errores de certificado cuando los usuarios visiten sitios que tienen Let’s Encrypt.

Es de esperar que estos números sean menores par……


Autor Baehost.com
Lee la nota completa en BAEHOST Blog

Compartir
Web Hosting profesional, VPS cloud, Hosting dedicated, dedicated Server, Virtual datacenter, Cloud Server and Cloud Hosting. 100 % SSD.

Dejar respuesta