La popular autoridad de certificación (CA) Let’s Encrypt que emite certificados digitales SSL/TLS ha enviado un email a miles de usuarios indicando que deben renovar sus certificados digitales antes de este viernes. Los certificados digitales de Let’s Encrypt son ampliamente utilizados por usuarios domésticos y empresas debido a que son completamente gratis, la parte negativa es que deben actualizarse cada 90 días en lugar de cada año o cada dos años de los certificados SSL/TLS de pago. ¿Quieres conocer por qué debes renovar los certificados cuanto antes?
¿Qué ha pasado con los certificados?
Durante esta madrugada, el equipo de Let’s Encrypt ha enviado un email a todos los usuarios afectados por un fallo a la hora de emitir los certificados en los últimos 90 días. El equipo de desarrollo ha determinado que un error ha hecho posible que los «desafíos» o «Challenges» a través de TLS-ALPN-01 no cumplen con los requisitos de emisión de los certificados, por lo que desde Let’s Encrypt van a revocar los miles de certificados que se han emitido en los últimos 90 días a través de TLS Challenge. El equipo de Let’s Encrypt ha declarado que solucionarán este problema revocando todos los certificados no expirados que usan este método de validación el 28 de enero de 2022 a las 16.00 UTC, por lo que piden a todos los usuarios que renueven sus certificados cuanto antes.
Si eres usuario de Let’s Encrypt y utilizas TLS Challenge como método de validación, te van a revocar el certificado automáticamente dentro de dos días, por lo que debes forzar cuanto antes una renovación antes de que sean revocados, para no tener problemas a la hora de acceder desde el exterior. Si tienes un servidor web que utiliza estos certificados digitales, tendrás que renovarlos y asegurarte de que están en pleno funcionamiento los nuevos certificados.
En nuestro caso, utilizamos este método de validación con el popular Traefik, el proxy inverso para acceder a diferentes recursos web de nuestra red local. Para forzar la generación de los nuevos certificados hemos tenido que borrar el archivo acme.json que creamos en su día, crearlo de nuevo vacío y darle los permisos adecuados, finalmente, hemos reiniciado Traefik y se ha puesto a descargarse unos certificados nuevos. Si eres un usuario de este proxy inverso o cualquier otro que use Let’s Encrypt, tendrás que realizar un proceso similar para no tener problemas a partir del viernes 28 de enero.
¿Qué hago si tengo problemas al renovarlos?
En el foro de la comunidad de Let’s Encrypt hay un hilo creado específicamente para este problema, nos indican que si tenemos algún tipo de problema a la hora de renovar el certificado usando el desafío TLS-ALPN-01 antes de la revocación, podemos poner un comentario y nos ayudarán a solucionar el error. Debemos recordar que esta revocación forzada solamente afecta a los certificados que usan TLS-ALPN-01 como método de validación, otros métodos de validación son a través de HTTP y también a través de DNS.
En el hilo del foro podéis encontrar tanto la ayuda de los desarrolladores de Let’s Encrypt como también de la comunidad, ya que todo el software para forzar la renovación de los certificados existen y son ampliamente utilizados por muchos usuarios.