Let’s Encrypt, obligado a eliminar millones de certificados TLS

Let’s Encrypt, obligado a eliminar millones de certificados TLS

Javier Jiménez

Let’s Encrypt es un servicio gratuito muy popular de certificados TLS. Es muy utilizado por los usuarios y esto significa que cualquier fallo puede afectar a muchos. En este artículo nos hacemos eco de una noticia que informa sobre cómo Let’s Encrypt se va a ver obligado a eliminar millones de certificados TLS. La culpa de ello es un error de autenticación de autoridad de certificación. Esto va a traer consecuencias lógicas a muchos sitios web.

3 millones de certificados de seguridad de Let’s Encrypt revocados

Concretamente han sido algo más de 3 millones de certificados de seguridad TLSde Let’s Encrypt los que han sido revocados. Esto significa que muchos sitios web que dependen de esos certificados van a ser considerados como inseguros o incluso dejar de estar disponibles.

Hay que tener en cuenta que los usuarios que tengan certificados de Let’s Encrypt fueron notificados un día antes de que en 24 horas dejarían de estar disponibles. Muchos de estos usuarios cuentan con decenas de dominios y servidores, por lo que el problema es bastante importante y no es sencillo de resolver en tan corto espacio de tiempo.

Desde Let’s Encrypt han indicado que se trata de un error que afecta a la forma en la que su software verificó la propiedad del dominio antes de emitir los certificados. Eso sí, hay que indicar que el hecho de que sean algo más de 3 millones de certificados los que son eliminados no significa que afecte a 3 millones de sitios. Es probable que muchos no estén actualmente en uso.

Este error podría abrir la puerta para que un atacante malintencionado tome el control de un certificado TLS en un sitio web. Esto permitiría a un pirata informático acceder al tráfico web y recopilar datos confidenciales.

La cifra total representa apenas un 2,6% del total de certificados que tiene Let’s Encrypt. En total cuentan con más de 116 millones de certificados activos y los afectados superan poco más de 3 millones. No obstante evidentemente estamos ante una cifra más que significativa.

Os dejamos un artículo donde explican cómo saber si somos uno de los usuarios afectados por este problema.

Rompen el certificado TLS en Chrome y Firefox

La importancia de los certificados en los sitios web

Hay que mencionar también la importancia que hoy en día tienen los certificados de los sitios web. Muchos navegadores modernos indican si una página es segura o no en función de si cuentan con certificado. Esto quiere decir que en aquellas páginas donde no haya un certificado presente o éste no sea el adecuado, el navegador la marcará como insegura.

Lógicamente esto afecta a la reputación de un sitio. Si un usuario entra en una página y su navegador le alerta de que ese sitio no es seguro, puede que directamente salga y no siga navegando por la web. Esto repercute en el número de visitas.

Incluso buscadores como Google posicionan peor aquellas páginas que no están catalogadas como seguras. Eso sí, como sabemos en la actualidad la gran mayoría de los sitios web tienen cifrado.