A la página principal

Problema con el certificado Let's Encrypt en dispositivos antiguos

30 sep. 2021 14:01:15 GMT vencimiento del certificado raíz IdenTrust DST Root CA X3

Let's Encrypt es una autoridad de certificación sin ánimo de lucro que proporciona certificados X.509 gratuitos para el cifrado TLS mediante un proceso automatizado, diseñado para reemplazar el complejo proceso actual de creación, verificación, firma, instalación y renovación manual de certificados para sitios web seguros.

Como consecuencia de la expiración del certificado raíz DST Root CA X3, los dispositivos obsoletos que llevan mucho tiempo sin recibir actualizaciones y no son compatibles con el nuevo certificado raíz ISRG Root X1 han dejado de confiar en el antiguo certificado. Al visitar sitios que utilizan certificados de Let's Encrypt, muestran advertencias o no pueden establecer una conexión segura.

Se consideran obsoletos los dispositivos y sistemas operativos con más de 5 años de antigüedad, entre ellos:

  • Windows XP hasta SP3 (así como SP3 y Windows 7, si los certificados raíz no se renovaron automáticamente).
  • macOS anterior a 10.12.1.
  • iOS hasta la versión 10.
  • Android hasta la versión 2.3.6 (el acceso a los servicios puede seguir siendo posible debido a las particularidades de la verificación de certificados raíz; las versiones hasta 7.1.1 dejarán de admitir el certificado en 2024).
  • Ubuntu anterior a 16.04.
  • Debian anterior a 8.
  • Sony PlayStation 3 y 4 con firmware hasta la versión 5.00.
  • Televisores inteligentes y dispositivos domóticos de generaciones anteriores.
  • Dispositivos que usan OpenSSL versión 1.0.x.

La mejor solución es actualizar el software a las versiones más recientes, que ya incluyen compatibilidad con el nuevo certificado raíz. Solo merece la pena tomar medidas si es realmente necesario — por ejemplo, si una parte significativa de la audiencia del servicio utiliza software obsoleto y es crítica para el proyecto.

Desde el lado del cliente, puedes:

  • Instalar manualmente el certificado raíz ISRG Root X1 si no está presente en el almacén del sistema o del software utilizado.
  • Eliminar el certificado raíz obsoleto DST Root CA X3. La presencia de un certificado raíz caducado puede interferir con el funcionamiento normal de los servicios que utilizan certificados de Let's Encrypt.

¡Atención! No es posible resolver el problema de esta forma en todos los dispositivos.

Windows 7

En Windows 7, la cadena de certificados raíz debería haberse actualizado automáticamente si las actualizaciones del sistema operativo están activadas. En caso contrario, el certificado raíz debe instalarse manualmente siguiendo estos pasos:

Descarga el certificado raíz ISRG Root X1 desde el sitio de Let's Encrypt en formato der. Ejecuta el archivo descargado y permite su apertura haciendo clic en Abrir. En la ventana que aparece, haz clic en Instalar certificado:

file

file

Selecciona para quién deseas instalar el certificado y haz clic en Siguiente. Selecciona la opción Colocar todos los certificados en el siguiente almacén y haz clic en Examinar:

file

file

Selecciona el almacén Entidades de certificación raíz de confianza y haz clic en Aceptar:

file

file

Haz clic en Siguiente, comprueba que los datos seleccionados son correctos y haz clic en Finalizar.

Debian/Ubuntu

  • Para comprobar si el certificado raíz está en la lista de confianza, ejecuta el siguiente comando en el terminal:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "ISRG Root X1"
  • Si la salida del comando muestra subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1, no es necesario realizar ninguna acción adicional. En caso contrario, ejecuta el siguiente comando:
curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | sudo tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt ; sudo echo "mozilla/ISRG_Root_X1.crt" >> /etc/ca-certificates.conf ; sudo update-ca-certificates

Comprueba el funcionamiento de los servicios con los que se produjeron problemas de acceso.

CentOS

  • Para comprobar si el certificado raíz está en la lista de confianza, ejecuta el siguiente comando en el terminal:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"
  • Si la salida del comando muestra subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1, no es necesario realizar ninguna acción adicional. En caso contrario, ejecuta el siguiente comando:
trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
sudo update-ca-trust

Comprueba el funcionamiento de los servicios con los que se produjeron problemas de acceso.

OpenSSL 1.0.x

  • Si el sistema utiliza una versión obsoleta de OpenSSL, debes eliminar el certificado raíz caducado de los certificados de confianza de la siguiente manera: Para Debian/Ubuntu, edita el archivo /etc/ca-certificates.conf añadiendo el carácter ! al principio de la línea mozilla/DST_Root_CA_X3.crt y ejecuta el comando:
update-ca-certificates

En el lado del servidor

En el lado del servidor, las opciones son limitadas. Si utilizas certificados de Let's Encrypt en tu servidor, debes saber que después del 30 sept. 2021 a las 14:01:15 GMT solo los clientes que confíen en ISRG Root X1 y usen Android >= v2.3.6 podrán conectarse a tu servidor sin problemas. Además, los clientes que usen OpenSSL deben utilizar la versión OpenSSL >= 1.1.0.

Dicho esto, tienes una opción: a costa de abandonar el soporte para versiones antiguas de Android (manteniendo el soporte para Android >= 7.1.1), puedes conservar la compatibilidad con OpenSSL 1.0.x sin ninguna modificación en el lado del cliente.

Para ello, debes utilizar la cadena de confianza alternativa propuesta por Let's Encrypt para tus certificados. Esta cadena excluye DST Root CA X3 y tiene el siguiente aspecto:

ISRG Root X1 → Let's Encrypt R3 → End User Certificate

Para cambiar a la cadena alternativa, consulta la documentación de tu cliente ACME.

Si tienes alguna pregunta adicional, puedes contactar con nuestro equipo de soporte en cualquier momento a través del sistema de tickets.

¿Necesitas ayuda?Nuestros ingenieros te ayudarán gratuitamente con cualquier pregunta en minutosContáctanos