Digitalización
29/09/2021
Apagón de internet
El 30 de septiembre muchos dispositivos dejarán de tener acceso a internet. Este es el titular sensacionalista que se ha dado, pero no es del todo cierto. Os explicamos por qué.
Primero es imprescindible entender que todo Prestador de Servicios de Confianza Electrónica (PSC) que expide certificados digitales cuenta con al menos una Autoridad de Certificación (CA) raíz. Se trata del elemento nuclear que emite los certificados. Esta CA raíz a su vez puede tener CAs intermedias, pero no entraremos ahí. Quedémonos con el concepto de CA raíz que expide certificados y en una cosa importante: los diferentes sistemas confían en los certificados digitales finales en la medida que están configurados para confiar en las CA raíces que los expiden. Dicho de otro modo, mi navegador web confiará en el certificado de la web de mi banco siempre que esté configurado para confiar en la CA raíz que le ha expedido el certificado a esa web bancaria.
Si se ha comprendido esta parte, lo siguiente que debemos tener en cuenta es que las CA raíces tienen por seguridad una fecha de caducidad. Cuando esta llega, la CA raíz alcanza el fin de su vida y deja de ser válida, tanto ella, como todos los certificados que haya emitido. Volviendo al ejemplo del certificado de la web de mi banco, si caduca la CA raíz que lo ha emitido, mi navegador web me mostrará una alerta de seguridad avisándome cuando conecte a la web de mi banco por ya no poder asegurarse la confianza en la comunicación.
Esto es lo que sucederá este próximo 30 de septiembre. Sucede que caducará una CA raíz de Let’s Encrypt que ha expedido gran número de certificados que identifican a dispositivos y páginas web en Internet. Se trata de la CA raíz DST Root CA X3.
Let’s Encrypt tenía esta situación prevista y ya introdujo en su momento otra CA raíz, llamada ISRG Root X1, como sustituta de DST Root CA X3. Lo que aseguraba que no se perdiera la confianza en sus certificados.
¿Qué ha ocurrido? Que a día de hoy existen sistemas y dispositivos antiguos o sin actualizar en funcionamiento que no tiene ISRG Root X1, sólo tienen DST Root CA X3.
En esos sistemas y dispositivos lo que ocurrirá a partir del día 30 de septiembre de 2021 es que dejarán de confiar en los certificados expedidos por DST Root CA X3. Es decir, comenzarán a mostrar mensajes de alerta cuando naveguen a páginas que empleen certificados para identificarse emitidos por esta CA raíz de Let’s Encrypt. Y en las comunicaciones que empleen estos certificados no podrán darse con normalidad.
En resumen, se trata de un incidente que afectará sólo a sistemas y dispositivos antiguos o no actualizados, cuando naveguen o establezcan comunicaciones que dependan de certificados expedidos por la CA raíz DST Root CA X3 de Let’s Encrypt, que no son pocos.
Fte. https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
