Actualización: Let’s Encrypt ha encontrado una solución que permite a los dispositivos Android seguir siendo compatibles con sus certificados. Más información sobre la compatibilidad ampliada
aquí
.
Desde su creación, Let’s Encrypt ha emitido más de mil millones de certificados gratuitos en todo el mundo. Sin embargo, la CA de código abierto ha contribuido en gran medida a la adopción de HTTPS, no siempre ha sido un camino de rosas. Ahora, los usuarios de certificados Let’s Encrypt deben prepararse para otra “tormenta”. A partir de enero de 2021, los certificados Let’s Encrypt tendrán una compatibilidad reducida con dispositivos y apps antiguos, lo que afectará tanto a los usuarios como a los propietarios de sitios web.
El culpable es un certificado raíz de terceros que ha caducado y que Let’s Encrypt utiliza para cruzar sus certificados. Es una práctica habitual que las nuevas CA crucen la firma de sus certificados con la raíz de confianza de una CA existente. En 2015, cuando Let’s Encrypt apareció en la escena SSL, su propio certificado raíz no era fiable para los principales navegadores y sistemas operativos. Las nuevas raíces tardan años en superar todas las auditorías y normativas de seguridad, por lo que Let’s Encrypt eligió el certificado IdenTrust DST Root X3.
La firma cruzada permitió a Let’s Encrypt emitir inmediatamente certificados SSL válidos y fiables. Todo iba bien hasta que se acercó el vencimiento de la raíz de IdenTrust. Expirará el 30 de septiembre de 2021 y crea un problema de compatibilidad para Let’s Encrypt y sus usuarios.
Aunque Let’s Encrypt empezará a emitir certificados raíz encadenados a su ISRG Root X1 el 11 de enero de 2021, su raíz no tiene el mismo rango de compatibilidad que la raíz de IdenTrust. Lamentablemente, los usuarios de navegadores y plataformas más antiguos recibirán la advertencia de conexión SSL cuando intenten acceder a sitios web protegidos por Let’s Encrypt.
Los usuarios de Android, los más afectados por el problema
No todo el mundo experimentará la reducción de compatibilidad. El principal grupo afectado son los usuarios de Android 7.1.1 o anterior. Y, aunque para algunos esas versiones antiguas puedan parecer arcaicas, más del 30% de los dispositivos Android siguen ejecutándolas. Estos usuarios no podrán acceder a sitios web con certificados Let’s Encrypt. En su lugar, los navegadores los recibirán con errores de certificado desagradables.
Let’s encrypt tiene un gran problema entre manos, pero no es culpa suya que muchas plataformas destacadas sean tan lentas a la hora de publicar actualizaciones de software. La mayor parte del problema se debe a la forma en que los fabricantes de teléfonos móviles utilizan el sistema operativo Android. Cuando Google lanza una actualización, no llega directamente a todos los dispositivos que la utilizan.
La mayoría de las veces, los fabricantes ignoran los aparatos más antiguos y, en el peor de los casos, los teléfonos más antiguos ni siquiera son compatibles con la última actualización. Por eso, millones de dispositivos Android utilizan sistemas operativos obsoletos que no pueden confiar en el nuevo certificado raíz Let’s Encrypt.
Además de Android, los usuarios de versiones antiguas de Java (anteriores a la 1.8.0) también tendrán problemas de compatibilidad y recibirán advertencias sobre certificados al acceder a sitios web protegidos por Let’s Encrypt.
¿Cómo se puede resolver este problema?
Si usted es propietario de un sitio web, la solución más rápida y práctica es cambiar a otra Autoridad de Certificación. Las CA comerciales tienen una compatibilidad del 99,3% con los navegadores, incluidas las versiones antiguas y los sistemas de servidor. Utilizan sus propias raíces de confianza y se cruzan utilizando sus propias raíces más antiguas para lograr la mejor compatibilidad.
Una alternativa gratuita a Let’s Encrypt pueden ser los certificados de CloudFlare y Amazon, pero sólo podrás utilizarlos mientras sigas siendo su cliente. Lo más parecido a Let’s Encrypt en cuanto a prestaciones es SSL positivoun certificado de Validación de Dominio asequible. A diferencia de Let’s Encrypt, también incluye un sello de sitio estático y una garantía SSL.
Si no quieres reemplazar tu certificado Let’s Encrypt, puedes advertir a tus visitantes sobre el inminente problema y pedirles que actualicen sus dispositivos Android. Sin embargo, la mayoría de los usuarios no son expertos en tecnología y no se tomarán la molestia de visitar un sitio. Puedes dejar de dar soporte a versiones anteriores, pero esto enfadará de nuevo a tus usuarios e inundará tu servicio de atención al cliente de quejas.
La opción más sensata es cambiar a otra CA a menos que Let’s Encrypt presente una solución hasta Año Nuevo.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
