Desde Linux David Naranjo  

Let’s Encrypt resolvió el problema de los certificados en dispositivos Android más antiguos

lets-Encrypt

Hace algunas semanas compartimos aquí en el blog la noticia de que Let’s Encrypt (una autoridad de certificación sin fines de lucro y controlada por la comunidad que proporciona certificados de forma gratuita a todos) advirtió a los usuarios sobre un cambio inminente en la generación de firmas, lo que provocaría problemas y sobre todo perdida de compatibilidad con aproximadamente el 33% de los dispositivos Android en uso.

Y esto fue debido a que anunciaba la transición para generar firmas usando solo su certificado root, sin usar un certificado con firma cruzada por la autoridad de certificación IdenTrust.

Se mencionaba que a partir del 11 de enero de 2021, se realizarán cambios en la API Let’s Encrypt y de forma predeterminada, los clientes de ACME recibirán certificados por ISRG Root X1 sin firma cruzada.

El nuevo tipo de certificado root de Let’s Encrypt se mencionaba que era compatible con todos los navegadores modernos, pero solo se reconoce a partir de Android 7.1.1, lanzado a finales de 2016 (si deseas conocer más al respecto sobre la noticia, puedes consultar la publicación en el siguiente enlace).

Pero ahora, Let’s Encrypt anuncio que el plan ha sido revisado y que la compatibilidad con dispositivos Android más antiguos se mantendrá durante al menos tres años más.

El cambio de API previsto para el 11 de enero, que implica una transición a la emisión por defecto de certificados certificados solo por el certificado root ISRG Root X1, sin firma cruzada, se ha pospuesto para junio de 2021.

Nos complace anunciar que hemos desarrollado una forma para que los dispositivos Android más antiguos conserven su capacidad de visitar sitios que usan certificados Let’s Encrypt después de que expiren nuestros intermediarios con firma cruzada. Ya no planeamos ningún cambio en enero que pueda causar problemas de compatibilidad para los suscriptores de Let’s Encrypt.

Al mismo tiempo, se decidió como opción brindar la posibilidad de solicitar un certificado alternativo, certificado de acuerdo con el antiguo esquema de validación cruzada y conservando la compatibilidad con dispositivos en el almacén de certificados root a los que no se les ha agregado el certificado Let’s Encrypt.

Se generará un certificado alternativo a fines de enero o principios de febrero de 2021 como parte de un acuerdo adicional con la autoridad de certificación IdenTrust. Además del certificado root ISRG Root X1 que pertenece a Let’s Encrypt, este certificado tendrá firma cruzada utilizando el certificado DST Root CA X3 de IdenTrust.

La firma cruzada tendrá una validez de tres años, que es menos que el período de validez del certificado root principal ISRG Root X1.

Dado que la firma cruzada caducará antes que la firma con el certificado root principal de Let’s Encrypt, es posible que surjan problemas similares al incidente con la expiración del certificado root AddTrust utilizado para la firma cruzada en los certificados de la autoridad de certificación Sectigo (Comodo).

Los navegadores manejaron correctamente el vencimiento del certificado cruzado de AddTrust, pero provocó bloqueos masivos en los sistemas con OpenSSL y GnuTLS, a pesar de que el certificado root principal de Comodo todavía era válido y la cadena de confianza con el certificado actual persistía.

Para asegurarse de que el nuevo certificado Let’s Encrypt no cree problemas de compatibilidad similares, las autoridades de certificación IdenTrust y Let’s Encrypt tienen la intención de revisar el esquema implementado utilizando auditores externos.

Como recordatorio, el certificado root propiedad de Let’s Encrypt es compatible con todos los navegadores modernos, pero solo se reconoce a partir de la plataforma Android 7.1.1, lanzada a finales de 2016. Según las estadísticas disponibles, solo el 66,2% de todos los dispositivos Android utilizan Android 7.1 y versiones más recientes.

El 33,8% de los dispositivos Android en uso no tienen datos del certificado root Let’s Encrypt, es decir, requieren un certificado firmado adicionalmente con un certificado root compatible con versiones anteriores de Android para seguir funcionando correctamente. Si intenta abrir sitios firmados solo con el certificado root Let’s Encrypt en dichos dispositivos, se mostrará un error.

Finalmente, si estás interesado en conocer más al respecto puedes consultar los detalles de la noticia en la nota original a la cual puedes acceder en el siguiente enlace.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.