Actualmente Let’s Encrypt es la autoridad de certificación más importante para el cifrado de Transport Layer Security (TLS) gracias a sus sofisticados procesos automatizados para la validación, firma, instalación y renovación de certificados de sitios web seguros.
Especialistas en ciberseguridad han comenzado a señalar que, en septiembre de 2021, el certificado root que Let’s Encrypt usa actualmente expirará, lo que ha generado múltiples dudas y preocupaciones en la comunidad de la ciberseguridad. Al respecto, el investigador Scott Helme preparó un informe que incluye todo lo que a su consideración es necesario saber sobre este certificado, conocido como IdentTrust DST Root CA X3.
Según menciona el experto, todos los certificados que impulsan HTTPS en Internet son emitidos por una Autoridad de Certificación (CA, por sus siglas en inglés), término que se refiere a una entidad de confianza reconocida por su dispositivo o sistema operativo. A continuación, se muestra la lista de “Autoridades de Certificación Root de Confianza” en sistemas Windows 10, una de las implementaciones informáticas más utilizadas del mundo:
El fabricante incluye estos certificados junto con el sistema operativo y reciben parches y mantenimiento como parte del mismo proceso de actualización del sistema operativo. Es aquí donde podemos encontrar IdenTrust DST Root CA X3, con el potencial de generar problemas en el futuro cercano.
Al verificar la información del certificado, podremos ver que este dejará de ser válido el próximo 30 de septiembre de 2021, un plazo de tiempo que el investigador identificó como “notAfter”.
Cuando este certificado expire, los clientes (incluyendo millones de sitios web) dejarán de confiar en los certificados emitidos por esta CA, lo que podría generar toda clase de inconvenientes para organizaciones, desarrolladores y usuarios.
El problema crece debido al notable crecimiento que Let’s Encrypt ha experimentado durante los últimos años, llegando hasta los 2 mil millones de certificados emitidos a inicios de 2021; es gracias a esta CA que gran parte del Internet conocido funciona, por lo que incluso el más mínimo problema en IdentTrust DST Root CA X3 podría tener consecuencias desastrosas.
El experto agrega que esto no tiene que ver con las prácticas llevadas a cabo por Let’s Encrypt, sino que está relacionado con la forma en que las implementaciones tecnológicas reciben actualizaciones.
Es importante mencionar que aún no está clara la magnitud de los problemas que la expiración de este certificado podría causar, aunque se menciona que el incidente podría ser peor que lo ocurrido en el vencimiento de AddTrust, que venció en mayo de 2020 y causó fallas en sitios web, clientes email y aplicaciones.
Sobre los clientes potencialmente afectados, el experto elaboró una lista de organizaciones que muy seguramente experimentarán fallas cuando IdenTrust DST Root CA X3 expire:
- OpenSSL, versión 1.0.2 y anteriores
- Windows XP SP3 y anteriores
- macOS v10.12.1 y anteriores
- iOS 10 y anteriores (iPhone 5 es el modelo más antiguo capaz de operar iOS 10)
- Android v7.1.1 y anteriores (v2.3.6 podrá funcionar si se proporciona el signo cruzado ISRG Root X1)
- Mozilla Firefox anterior a v50
- Ubuntu v16.04 y anteriores
- Debian 8 y anteriores
- Java 8 v8u141 y anteriores
- Java 7 v7u151y anteriores
- NSS v3,26 y anteriores
- Amazon FireOS (navegador web Silk)
Helme menciona que otras plataformas enlistadas a continuación podrían experimentar fallas, aunque aún no se ha confirmado la detección de errores potenciales:
- Cyanogen v10 y anteriores
- Jolla Sailfish OS v1.1.2.16 y anteriores
- Kindle v3.4.1 y anteriores
- Blackberry v10.3.3 y anteriores
- PlayStation 4 con firmware v5.00 y anteriores
- IIS
Como el investigador menciona, aún faltan más investigaciones sobre el riesgo potencial que la expiración del certificado podría tener, aunque también asegura que el riesgo no debe ser desestimado ni se debe dejar toda la responsabilidad a Let’s Encrypt.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.