El pasado día 30 caducó la entidad certificadora raíz AddTrust External CA Root. Llevaba 20 años funcionando y esto lógicamente ha tenido un impacto en muchos sitios web. No obstante hay que tener en cuenta que no afecta en gran medida al uso cotidiano de los usuarios, salvo algunas excepciones que vamos a comentar.
Qué son los certificados raíz
Los certificados raíz son certificados autofirmados. Esto significa que el «Emisor» y el «Sujeto» son lo mismo. Un certificado raíz se convierte en un certificado raíz confiable (o CA confiable) al ser incluido por defecto en los almacenes de confianza de un software como puede ser un navegador o sistema operativo.
Estos almacenes de confianza son actualizados de vez en cuando como parte de las actualizaciones de software de ese navegador o sistema operativo. El problema es que en las plataformas más antiguas solo se actualizan normalmente como parte de una actualización completa de software. Es decir, no adquieren esas actualizaciones en versiones más antiguas.
Esto hace que haya dispositivos que no tengan actualizaciones para incluir certificados raíz modernos y, por tanto, no son compatibles con los estándares actuales.
La mayoría de los certificados afectados son emitidos por Sectigo o por Comodo. Sin embargo no es algo que afecte a muchos usuarios actuales. Es decir, únicamente afectaría a aquellos que utilizan para navegar sistemas obsoletos como puede ser Windows XP e Internet Explorer 6. Sí puede afectar más a los sistemas de monitorización o scripts.
Podemos decir que un certificado digital permite que un dominio y un servidor sean validados de forma segura y de esta forma evitar problemas de seguridad importantes, como por ejemplo suplantar ese dominio o que un tercer sitio responda solicitudes en nuestro nombre.
Permite que la conexión entre el navegador y el servidor, una vez se ha establecido, sea cifrada entre ellos. Esto evita que posibles intrusos puedan ver el contenido, que puede tener información confidencial como contraseñas o datos bancarios.
Clientes y sistemas operativos modernos
Hay que indicar que todos aquellos clientes y sistemas operativos modernos no van a tener ningún problema más allá del 30 de mayo, que fue cuando caducó el certificado raíz. En este caso tienen todas las raíces Comodo y USERTrust más nuevas y modernas que estarán disponibles hasta 2038.
En aquellos dispositivos más antiguos habría que actualizar e instalar las nuevas raíces Sectigo. No sería necesario emitir o reinstalar el certificado.
En definitiva, como hemos indicado el problema únicamente estará presente en aquellos que utilicen sistemas operativos y navegadores obsoletos. Una vez más se demuestra la importancia de mantener siempre las últimas versiones. En muchas ocasiones pueden surgir problemas de seguridad que pongan en riesgo nuestros equipos. Es vital tener instalados los últimos parches que corrijan estos problemas.
Desde Transparent CDN para solucionar este problema han optado por rehacer los certificados de servidor (que esto no significa renovar, ya que son válidos hasta la fecha de caducidad) y de esta forma utilizar la nueva CA que han puesto a disposición desde Sectigo y que no caduca hasta 2038.
Os dejamos un artículo donde hablamos de cómo funciona el certificado HTTPS.