Let's Encrypt dejará de funcionar para dispositivos Android más antiguos

Let’s Encrypt se fundó en 2012 y se publicó en 2014 con el objetivo de mejorar la seguridad en el sitio. El objetivo era lograr la provisión de acceso automático gratuito a certificados SSL y TLS, lo que permitiría a los sitios web cambiar a HTTPS sin tener que gastar dinero.

Cientos de millones de sitios web confían en Let's Encrypt para sus necesidades de certificación HTTPS. La seguridad HTTPS ayuda a proteger sitios web y usuarios, y dificulta el robo de información privada para actores malintencionados.

El proyecto anunció recientemente que, a partir del 1 de septiembre de 2021, algunos programas más antiguos dejarán de depender de sus certificados. Veamos por qué sucedió esto y qué significa en el futuro.

Los certificados caducan

Cuando Let’s Encrypt se lanzó por primera vez a principios de 2016, lanzaron su propio certificado raíz, llamado ISRG Root X1. Sin embargo, a las empresas les lleva tiempo insertar certificados raíz actualizados en su programa, por lo que hasta hace poco todos los certificados Let Encrypt eran verificados por IdenTrust Certificate, DST Root X3. Este certificado era mucho más extenso y ya era compatible con la gran mayoría de los sistemas y navegadores de uso común. Esto permitió que Let's Encrypt se iniciara mientras esperaban a que la mayoría de los programas mantuvieran su propio certificado raíz.

El problema que se avecina en el horizonte es la expiración de DST Root X3, el 1 de septiembre de 2021. Por supuesto, para aquellos que operan con sistemas operativos y navegadores actualizados, no hay un problema mayor. Pero para aquellos en plataformas que no se han actualizado desde 2016 más o menos, y no son compatibles con el certificado ISRG Root X1, las cosas se estropearán. Esto afecta a todas las comunicaciones seguras que utilizan sus certificados, ya sea para navegar por sitios web con HTTPS habilitado o conexiones a través de SSL o SFTP.

La compañía señala que quizás la preocupación más importante es el mercado de teléfonos móviles con Android. Debido a que la mayoría de las redes de telecomunicaciones están adaptando una aplicación de Android, junto con el propio fabricante del teléfono móvil, se necesita coordinación entre muchas organizaciones para lanzar una actualización del sistema operativo para un teléfono Android. También hay pocos incentivos financieros para que las empresas respalden los teléfonos que ya se venden. Muchos usuarios se encuentran bloqueados por completo de las actualizaciones del sistema operativo porque las redes o los fabricantes simplemente se olvidan de hacer el trabajo.

Datos sobre la base instalada de Android desde septiembre de 2020.

Los usuarios de Android en versiones anteriores a la 7.1.1 son los que tendrán problemas cuando DST Root X3 expire el 1 de septiembre del próximo año. Según estadísticas recientes, estos usuarios constituyen aproximadamente un tercio de la base de usuarios de Android, una cantidad significativa. Con una estimación conservadora vinculada a los usuarios de Android que representan un total de aproximadamente el 80% del total de teléfonos móviles instalados, y alrededor de 3 mil millones de usuarios de teléfonos móviles en todo el mundo, los cálculos detrás del sobre nos muestran que quedan alrededor de 750 millones de usuarios que podrían tener problemas. en la próxima vez. año.

Por supuesto, las soluciones son posibles. Si bien el sistema operativo Android, y presumiblemente un navegador de Internet, se ha vuelto obsoleto hace mucho tiempo, nada impide que los usuarios instalen una aplicación más nueva que admita el certificado ISRG Root X1. Firefox está disponible como navegador en la plataforma y contiene su propia lista de certificados raíz de confianza, por lo que es una solución útil para el uso diario de Internet. Para los desarrolladores, es posible incluir ISRG Root X1 como un certificado confiable en un programa individual, y las discusiones continúan entre aquellos que siguen esta ruta. En última instancia, agregar un nuevo certificado de confianza es simplemente colocar un archivo en una carpeta, pero necesita permisos de root para hacer lo que en teléfonos Android bloqueados significa jailbreak.

We Encrypt también podría buscar una firma cruzada de otra autoridad de certificación, similar a cuando comenzaron. Sin embargo, las Autoridades de certificación son de alguna manera responsables de los certificados que firman, y es poco probable que otra CA esté dispuesta a llevar esa carga para Nosotros para cifrar. Sobre todo porque la entidad es sin ánimo de lucro, hay poco dinero. Como pilar en el cambio en línea al cifrado HTTPS como estándar, Let's Encrypt considera importante que el proyecto se sostenga por sí solo, en lugar de depender de otras organizaciones con fines de lucro. Teniendo en cuenta que su certificado raíz ahora es ampliamente reconocido, fuera de estos casos marginales de 2016 y anteriores, parece una decisión saludable.

Con la seguridad en Internet ahora más importante que nunca, este es un problema que no va a desaparecer. Para funcionar bien con todas las demás computadoras en la red global, las actualizaciones regulares son simplemente costosas de operar. La ventaja de tener un certificado abierto como Let Encrypt es que su transparencia sobre los problemas y una comunicación clara les da a los sitios web, desarrolladores y usuarios finales más tiempo para lidiar con los próximos cambios.

  • Trumpy dice:

    ¿Qué es lo siguiente que necesito para conectar mi computadora a Win7 porque Win10 no lo admite?
    La gente verde tiene que dar un paso atrás.

    • Vlad dice:

      ... o simplemente instale uno de los SO FOSS compatibles y disfrute de un dispositivo funcional actualizado + inicie win10 en VM en la computadora portátil no compatible con w10.

    • Murray dice:

      El problema no es Win10 ... es Win. Haga el cambio, vaya a Linux y nunca deje que una empresa lo gobierne por sí sola.

      • zoobab dice:

        Las empresas han capturado durante mucho tiempo el proceso de desarrollo de Linux, lo que dificulta o incomoda contribuir.

    • Adán dice:

      Si lo entiendo correctamente, el problema son los navegadores integrados de Android que no recibirán actualizaciones. Si usa, por ejemplo, Firefox o Chrome en su teléfono o computadora portátil y lo mantiene actualizado, creo que debería durar para siempre.

    • Dissy dice:

      Simplemente instale el nuevo certificado raíz manualmente. Como tuvo que hacer durante el año pasado para todos los demás certificados que han caducado.

      En el futuro para Win 7, también dejó de funcionar todos los certificados emitidos por UTN, Deutsche Telecom, GTE y Equifax por la misma razón.
      Tendrá DTS y GlobalSign caducará el próximo año, este último hará que algunos millones de certificados dejen de funcionar para usted.

      Tendrá que actualizar manualmente a todos los que están por delante (bueno, tal vez omita Equifax)

  • Pedante dice:

    Checkedus comprobado, tengo que conectar mi teléfono de trabajo porque es demasiado antiguo (Android 7.0), aunque lo obtuve hace solo 2 años. Lo que también duele que mi compañía inalámbrica Verizon tenga la capacidad de actualizar el dispositivo, como lo hicieron con un parche de seguridad hace unos meses, pero probablemente no lanzará una actualización de Android para mi dispositivo. Además, su parche de seguridad rompió la barra de búsqueda en el programa de configuración, lo que me confunde sinceramente. Intentaría echar raíces, pero de nuevo: un teléfono principal.

    • Pedante dice:

      * función de teléfono -> $ 200 teléfono inteligente

    • celdrono dice:

      También puede instalar un navegador que tenga su propio certificado de una tienda confiable, separado de la tienda raíz de su sistema Android. De esa manera, tendría la capacidad de navegar por todos los sitios web, tal vez no de manera muy conveniente.

      Todo depende de cómo quieras gastar tu dinero.

    • Neil dice:

      Es posible que desee verificar si https://lineageos.org/ es compatible con su teléfono. Como beneficio adicional, Lineage no se envía con bloatware de forma predeterminada. Siempre me he preguntado qué tan fácil es instalarlo siguiendo las instrucciones.

  • JM dice:

    "Let's Encrypt se fundó en 2012 y se publicó en 2014"
    "Cuando Let's Encrypt se lanzó por primera vez a principios de 2016"
    Parece que se publicaron por primera vez 2 años después de su publicación.

  • SnarkBark dice:

    O use un navegador real como Firefox, que tiene libros NSS y su propio almacenamiento seguro.

  • Jason Voorhees dice:

    Android realmente permite al usuario instalar sus propios certificados. Configuración del sistema -> seguridad -> cifrado -> certificado de instalación. Es posible que el arreglo se haya movido a lo largo de los años, pero está ahí.

  • Daniel Dunn dice:

    Realmente odio la forma en que PKI funciona hoy. Bloquea por completo cualquier servidor doméstico para la mayoría de las personas porque necesita pagar por un dominio, evita el uso de funciones HTML avanzadas en redes descentralizadas sin problemas y los dispositivos no lo admiten bien.

    Siempre debe haber un menú de configuración en los dispositivos de los consumidores para agregar fácilmente un nuevo certificado raíz. Debería poder ingresar claves públicas directamente en URL como base64, para todas las aplicaciones que no necesitan ser leídas por humanos, como dispositivos IoT con códigos QR para configurar.

    Mantenga una PKI para su banco y Facebook (las que probablemente no usen, cifremos de todos modos) y deje que otras cosas usen alternativas. Si escribe la información de su tarjeta de crédito en xuebifuwbjidbsjwneisnsiwnd.182.1.37.18, hará lo mismo en TotallyHonestNotAScamBanking.com de todos modos.

    • kc8rwr dice:

      ¿Qué?

      ¿Dindns todavía tiene un nivel gratuito? Solía ​​usar un nombre de dominio gratuito con ellos. Antes de eso, usé ods.com o ods.net o algo así que ahora ha desaparecido. Una vez pagué una tarifa única por actualizar mi cuenta de dyndns.org y ahora estoy justificado.

      De todos modos, si no te gusta algo, simplemente busca en Google "dns dinámicos gratuitos" https://lmgtfy.app/?q=free+dynamic+dns. Parece que hay muchos. Combine eso con Let's Encrypt y será bienvenido a ir ... siempre y cuando aparentemente no quiera usar algunos dispositivos antiguos.

      Realmente desearía poder hacer clic en los botones "aceptar este certificado autofirmado" y "recordar siempre" y que mi navegador haga realmente lo que le digo que haga. Pero ya sabes ... ese tipo de seguridad que odian funciona y odian a las personas que albergan sus propias cosas, y los tipos de negocios están muy felices de seguir tomando nuestro dinero. Pero al menos existen las opciones que mencioné anteriormente para sortear todo.

    • Dissy dice:

      Estoy totalmente de acuerdo en que los navegadores que fuerzan SSL en LAN y dispositivos más antiguos es el enfoque incorrecto. Lo encuentro tan equivocado como el enfoque de Mozilla en Firefox.
      En quién confiar y no confiar es mi llamado, no el de ellos. Mi confianza proviene de un fideicomiso real, no uno que paga una tarifa anual contra uno que no lo hace.

      Terminé siguiendo el camino de ejecutar mi propia CA, que es adecuada para todo excepto para Firefox, que se niega a dejarme confiar en mi propia CA. Mozilla tiene que ser borrado de Internet por cosas como esa.

      La "solución" que creé para dispositivos LAN es un gran truco. pero funciona muy bien. Tengo un subdominio incomprensible en mi dominio de Internet completamente interno, también servidores DNS.
      En la Internet pública, hay una entrada DNS comercial en ese subdominio que apunta a un único servidor web público que administro. Tiene mi huella digital LetsEncrypt y validará cualquier solicitud ACME a ": *" con la respuesta adecuada.

      De esta manera, cualquier dispositivo LAN inalcanzable puede realizar solicitudes ACME de certificaciones y ser aprobado, recibiendo certificados de lectura cada uno con su propia clave.

      El peor de los casos es que alguien más pueda tener certificados emitidos a un nombre en mi subdominio, para poner un servidor nunca accesible. y soy bueno en esto.

      • Bert dice:

        > Terminé yendo a mi manera CA,

        Okey

        > que se adapta a todo excepto Fox, que se niega a permitirme confiar en mi propia CA.

        Improbable

        • Dissy dice:

          Nada improbable al respecto.
          Cuando instalo mi certificado raíz de CA en Firefox, se eliminará durante la próxima actualización del navegador.
          Este es un comportamiento bien definido: https://wiki.mozilla.org/CA/FAQ#What_is_the_Mozilla_Root_Store_Policy.3F

          Además, cuando desactivo un certificado de CA en Firefox porque no confío en él, como CNNIC, en la próxima actualización del navegador, Mozilla lo reactivará nuevamente porque Mozilla paga por incluirlo.
          Este también es un comportamiento intencional: https://bugzilla.mozilla.org/show_bug.cgi?id=542689

          Como dije, para mí la fe significa fe. Para Mozilla, la confianza significa que se les paga.
          No les pago y por eso no puedo confiar en mí mismo. El gobernador. de China les paga, así que tengo que confiar en ellos.

          No me suscribo a esta redefinición de la palabra "confianza", e incluso si lo hago, Mozilla no me paga, por lo que, según su propia definición, no puedo confiar en Mozilla.

          • Jon Penn dice:

            Desde tu enlace:
            "Eliminar un certificado raíz que se encuentra en el almacén raíz predeterminado equivale a deshabilitar todos los bits de confianza para esa raíz. Por lo tanto, incluso si el certificado raíz vuelve a aparecer en el Administrador de certificados, se tratará como si hubiera cambiado las partes de confianza de esa raíz. certificado para deshabilitar todo.

            Importante: este cambio tendrá un efecto permanente, por lo que los bits de confianza para el certificado raíz solo pueden ser cambiados por usted. Este cambio no afectará la actualización a versiones más recientes del software de Mozilla. Se recomienda encarecidamente que anote qué certificado raíz está modificando para que pueda reiniciar los bits de confianza si el cambio afectará negativamente su experiencia de navegación. "

        • Dissy dice:

          Daría enlaces para probarlo, pero parece que el sistema de comentarios está desapareciendo de mis publicaciones con enlaces.
          Las actualizaciones de Firefox reescriben los cambios en su tienda de testimonios, eliminando el mío y reemplazando los que elimino. Es un comportamiento documentado.

Maya Lorenzo
Maya Lorenzo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.