Cloudflare, uno de los corazones de Internet, ha comenzado a enviar avisos a todos los clientes que usan Let’s Encrypt.
Estamos hablando de un cambio en la compatibilidad de los certificados de Let’s Encrypt, anunciado para después del 15 de mayo de 2024, es crucial para todos los que operan en el espacio web, especialmente para aquellos que confían en Cloudflare para la administración de sus certificados SSL. Veamos en detalle qué significa este cambio y cómo prepararse para él, explicándolo de manera simple.
¿Qué está cambiando?
Let’s Encrypt ha utilizado dos cadenas de certificados para emitir sus certificados SSL: una cadena propia (ISRG Root X1) y otra cruzada firmada por IdenTrust (DST Root CA X3). Esta última ha permitido una amplia aceptación de los certificados de Let’s Encrypt en muchos dispositivos, especialmente en versiones antiguas de Android. Sin embargo, esta cadena cruzada expirará el 30 de septiembre de 2024, y Cloudflare dejará de emitir certificados utilizando esta cadena a partir del 15 de mayo de 2024.
¿Cuál es el impacto?
La expiración de la cadena cruzada afectará principalmente a dispositivos más antiguos, como aquellos que ejecutan Android 7.0 o versiones anteriores, que no han actualizado su almacén de certificados para incluir la cadena ISRG Root X1. Esto podría resultar en advertencias de seguridad o incluso impedir el acceso a los sitios web que usen estos certificados, debido a fallas en la validación del certificado.
¿Qué se debe hacer?
- Cambiar de Autoridad Certificadora (CA): Si sus clientes usan dispositivos antiguos y cree que este cambio afectará su acceso, considere cambiar a otra CA o subir un certificado de otra CA de su elección.
- Monitoreo: Una vez implementado el cambio, es importante monitorear canales de soporte para cualquier problema relacionado con advertencias de certificados o problemas de acceso.
- Actualizar el almacén de confianza: Si controla los clientes que se conectan a su aplicación, actualice su almacén de confianza para incluir la cadena ISRG Root X1 y evitar interrupciones.
Fechas importantes
- 15 de mayo de 2024: Cloudflare dejará de emitir certificados desde la cadena cruzada de CA. Los certificados de Let’s Encrypt subidos a Cloudflare después de esta fecha se empaquetarán con la cadena ISRG X1.
- 30 de septiembre de 2024: La cadena cruzada de CA expirará.
Es importante, repito, mantener actualizadas las infraestructuras de seguridad digital, especialmente en lo que respecta a la confianza y la validación de certificados. Para los administradores de sitios web y desarrolladores, es esencial revisar y, si es necesario, actualizar las cadenas de certificados para asegurar la accesibilidad y la confianza en sus servicios web. Cloudflare avisa con tiempo, por lo que es mejor ponernos manos a la obra.