Algunos móviles Android podrían quedarse sin poder entrar a Internet a partir del 30 de septiembre
El certificado raíz de Let's Encrypt está a punto de caducar, por lo que los Android más antiguos y desactualizados podrían quedarse muy pronto sin acceso a Internet.
Seguramente el problema que nos relataban los compañeros de TechCrunch vaya a pasar desapercibido para la mayoría de los usuarios de Android, y sin embargo habrá un buen número de usuarios que van a ver cómo sus dispositivos se quedan sin acceso a Internet por un problema con los certificados de seguridad instalados en sus dispositivos.
De hecho, es que el certificado raíz de Let's Encrypt, uno de los mayores proveedores de certificados HTTPS del planeta, caducará el próximo 30 de septiembre haciendo imposible que ordenadores, smartphones y navegadores web en general confíen en los certificados emitidos por esta autoridad, impidiendo así el acceso a miles de páginas web alrededor del mundo.
No será un problema generalizado, y es que obviamente Let's Encrypt ya dispone de un nuevo certificado raíz que sustituirá al actual IdentTrust DST Root CA X3, aunque lo cierto es que los dispositivos que no actualicen desde hace años su firmware, sobre todo en el caso de Android, sí se verán afectados por la falta de un certificado de seguridad adecuado.
Let's Encrypt no es sólo una organización sin ánimo de lucro sino también una de las mayores certificadoras de Internet, así que la caducidad de sus certificados raíz podría conllevar problemas serios de acceso a Internet para infinidad de dispositivos antiguos y sin soporte.
Así te afectará el problema de Let's Encrypt y la caducidad de sus certificados
Para tranquilizaros de primera mano, no es nada nuevo que los certificados de seguridad de las proveedoras más importantes caduquen, ya pasó hace unos meses con AddTrust y lo cierto es que afectó a un número significativamente bajo de usuarios, aunque la existencia de afectados sea cual sea su número hace lógico enviar este aviso.
Sobre todo porque, tal y como indicaba el investigador de seguridad Scott Helme, "al menos algo se romperá en algún sitio", añadiendo además que para él es muy importante "la diferencia de tamaño relativo entre Let's Encrypt y AddTrust", premisa que hará que esta vez el potencial problema sea mayor.
En todo caso, deberán estar atentos los que todavía utilicen los dispositivos más antiguos y desactualizados, pues serán este tipo de gadgets lo que sufran los problemas: ordenadores con macOS anterior a 2016 o con Windows XP, las PlayStation más antiguas, smartphones con Android en versiones anteriores a 7.1.1 Nougat, etcétera...
Si tienes un smartphone con versiones de Android anteriores a 7.1.1 Nougat, ve instalando Firefox porque seguramente estarás entre los afectados a finales de esta misma semana.
Mozilla Firefox, uno de los navegadores más populares, es capaz de proveer su propia lista de certificados actualizada.
En el caso de Android, sabemos que es el propio sistema operativo el que se encarga de proveer a los navegadores de la lista de certificados raíz de confianza, así que la falta de soporte de actualizaciones supone un gran problema en caso de caducidad de estos certificados raíz.
Sea como fuere, Let's Encrypt ha conseguido solventarlo en parte adelantando la transición a su propio certificado ISRG Root X1, que no vence hasta 2035, y consiguiendo una certificación cruzada que ampliará la validez del IdentTrust DST Root CA X3 durante tres años más.
Aún con esto, aseguran que lo ideal para evitar problemas en el caso de utilizar dispositivos Android más antiguos, es utilizar el navegador Firefox, que incluye sus propias listas de certificados de confianza por encima de las de Android, actualizadas en este caso y por tanto sin ningún problema.
Para el navegador integrado de un teléfono Android, la lista de certificados raíz de confianza proviene del sistema operativo, que está desactualizado en estos teléfonos más antiguos. Sin embargo, Firefox es actualmente único entre los navegadores: se envía con su propia lista de certificados raíz de confianza. Let's Encrypt.
Lo curioso es que será difícil prever qué pasará el próximo día 1 de octubre tal y como lo fue anteriormente predecir los problemas casi nulos causados por la caducidad del certificado de AddTrust, aunque debéis saber que, si efectivamente vuestro smartphone se queda sin Internet ese día, probablemente estéis entre los afectados y debáis cambiar de navegador web o incluso de smartphone.
La magnitud de Let's Encrypt es enorme, de hecho, pues desde su fundación en 2014 ha emitido la nada despreciable cifra de más de 2.000 millones de certificados.
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.