Let’s Encrypt (una autoridad de certificación sin fines de lucro controlada por la comunidad y que proporciona certificados gratis para todos) anunció la próxima transición para generar firmas usando solo su certificado root, sin usar un certificado con firma cruzada por la autoridad de certificación IdenTrust.
El certificado root Let’s Encrypt es compatible con todos los navegadores modernos, pero solo se reconoce a partir de Android 7.1.1, lanzado a finales de 2016.
El problema es que, según las estadísticas disponibles, solo el 66,2% de todos los dispositivos Android utilizan Android 7.1 y versiones más recientes.
Por lo tanto, el 33,8% de los dispositivos Android en uso no tienen datos en el certificado root Let’s Encrypt y una vez que expire el certificado con firma cruzada, se mostrará un error al intentar abrir sitios utilizando certificados Let’s Encrypt en dichos dispositivos.
El porcentaje de usuarios de Android que no aceptan el certificado root Let’s Encrypt se estima aproximadamente entre el 1 y el 5% de la audiencia de los sitios grandes.
Let’s Encrypt no tiene la intención de concluir un nuevo acuerdo de firma cruzada, ya que esto impone una gran responsabilidad adicional a las partes del acuerdo, las priva de independencia y les ata de las manos en cuanto al cumplimiento de todos los procedimientos y reglas de otra autoridad de certificación.
Además, el problema con la actualización de los dispositivos Android antiguos probablemente no desaparecerá y el acuerdo cruzado tendrá que renovarse una y otra vez.
A partir del 11 de enero de 2021, se realizarán cambios en la API Let’s Encrypt y de forma predeterminada, los clientes de ACME recibirán certificados por ISRG Root X1 sin firma cruzada.
Los usuarios preocupados por la compatibilidad tendrán la oportunidad de solicitar un certificado alternativo, autenticado mediante el antiguo esquema de validación cruzada, pero dichos certificados seguirán estando limitados por la vida útil del certificado raíz con firma cruzada (1 de septiembre de 2021).
Como solución, se recomienda a los usuarios de dispositivos Android más antiguos que cambien al navegador Firefox, que tiene su propio almacén de certificados raíz actualizado.
Pero Firefox no es compatible con Android 4.x (aproximadamente el 2% de los dispositivos Android activos) y solo se puede ejecutar en Android 5.0 o más reciente.
Se recomienda a los propietarios de sitios que no estén dispuestos a aceptar la pérdida de compatibilidad con teléfonos Android antiguos que procesen las solicitudes de dispositivos Android más antiguos a través de HTTP o que cambien a una CA compatible con versiones anteriores de Android.
Así es como Let’s Encrypt anunció:
“El certificado raíz DST Root X3 en el que confiamos para arrancar caducará el 1 de septiembre de 2021. Afortunadamente, estamos listos para ponernos de pie y confiar únicamente en nuestro propio certificado root”.
Sin embargo, este cambio completo al propio certificado de Let’s Encrypt no estará exento de consecuencias.
“Algunos software que no se han actualizado desde 2016 (aproximadamente cuando nuestra raíz fue aceptada por muchos programas raíz) todavía no confían en nuestro certificado raíz, ISRG Root X1”, explicó Jacob Hoffman-Andrews (desarrollador senior en Let’s Encrypt y tecnólogo senior en Electronic Frontier Foundation) en un aviso.
“Esto incluye en particular versiones de Android anteriores a la versión 7.1.1. Esto significa que estas versiones antiguas de Android ya no confiarán en los certificados emitidos por Let’s Encrypt ”.
“Para el navegador integrado de un teléfono Android, la lista de certificados raíz de confianza proviene del sistema operativo, que es obsoleto en estos teléfonos más antiguos. Sin embargo, Firefox es actualmente único entre los navegadores: viene con su propia lista de certificados raíz de confianza. Entonces, cualquiera que instale la última versión de Firefox se beneficia de una lista actualizada de autoridades de certificación confiables, incluso si su sistema operativo está desactualizado ”, según Hoffman-Andrews.
El aviso también está dirigido a algunos propietarios de sitios web que reciben quejas de los usuarios para que puedan prepararse para el cambio. Let’s Encrypt los anima a implementar una solución provisional (cambiar a la cadena de certificados alternativa) para mantener su sitio en funcionamiento mientras evalúan lo que necesitan para una solución a largo plazo.
Fuente: letsencrypt | desdelinux
