Hace
unos días muchos medios “amarillistas” anunciaron que el 30 de septiembre existiría
un apagón de internet en el cual se refiere a que varios dispositivos dejarán
de funcionar pasando esa fecha debido al vencimiento de uno de los certificados
web que ofrece la empresa Let’s encrypt, pero, ¿realmente
es cierto lo que dice la prensa? ¿Los dispositivos ya no soportados
dejarán de conectarse a internet al instante?, sigue leyendo esta
entrada porque hay mucha información que mencionar al respecto.
¿Qué es un certificado web?
Primero
vamos al concepto de que es un certificado y porque es muy importante tener uno
cuando somos desarrolladores o administradores de algún sitio web.
Un
certificado web es una especie de túnel en el cual permite cifrar la
información tanto que enviamos al servidor como recibimos, toda esta
información se compone de paquetes que se van transportando entre el cliente y
la máquina de destino, sin él, un atacante con un simple programa de rastreador
de paquetes como Wireshark que se conecta a la red podría robar toda la
información que hemos enviado como datos personales, direcciones de correo
electrónico, contraseñas, cuentas bancarias y más, además de eso, un
certificado no solo permite proteger al usuario que interactúa con el sitio,
sino también verifican los clientes que poseen el dominio para evitar
falsificaciones o evitar que haya corrupción o algún problema cuando se envían
los paquetes.
Existen
varios tipos de certificados siendo los más básicos y comunes los protocolos
SSL (Secure Sockets Layer) y TLS (Transport Layer Security) ambos con sus
distintas versiones y ventajas y desventajas entre ellas, cuando un sitio posee
un certificado web, este puede distinguirse mediante el protocolo de
comunicación https en lugar del http que se puede observar en la URL o mejor
dicho, la dirección de la página web visible normalmente en la parte superior
del navegador. Un sitio que utiliza el protocolo de comunicación HTTPS no
garantiza tampoco al 100% que sea seguro, pero al menos el nivel de seguridad
es mucho mejor a comparación de que el sitio no posea ningún certificado.
El problema entre los dispositivos y los certificados.
Un
dispositivo completo o un navegador implementan ciertas características o
funciones para poder reconocer los certificados, cuando se desea acceder a un
sitio web donde un certificado no es reconocido o no es posible validarlo, no
será posible entrar en él y es posible que se nos avise un mensaje de error de
que no se puede validar dicho certificado, a veces también puede que un
certificado pueda reconocerse de manera parcial en el que puede darnos un aviso
al igual de que hay un problema con el certificado y es posible acceder al
sitio pero con problemas o elementos faltantes.
Los
certificados se van renovando cada cierto tiempo al igual que los protocolos de
transporte como SSL o TLS se van actualizando para implementar mejores medidas
de seguridad ya que es muy probable que los certificados anteriores puedan ser
explotados por los atacantes si se llegara a encontrar una vulnerabilidad en
ellos.
Cuando tu dispositivo cada vez accede a menos páginas
Ejemplo de una PSP Go utilizando el navegador de internet
en el cual actualmente ya no puede acceder a la mayoría de los sitios web siendo
el problema más común el de los certificados.
Hay
dos maneras de que un dispositivo conforme pasa el tiempo te darás cuenta de
que cada vez le cuesta más trabajo acceder a los sitios web. La primera y es
más lógica es el tamaño de la página que incluye elementos como scripts,
imágenes y otros complementos en donde cada vez se hacen más pesados y nuestro
dispositivo cada vez le queda menos memoria (RAM) o procesamiento (CPU) para
poder cargarlos y la segunda independientemente del tamaño del sitio o
complementos es por el problema de los certificados.
Imagina
que compraste un nuevo dispositivo y lo utilizas principalmente para navegar ya
sea para realizar búsquedas en Google, entrar en redes sociales entre otras
cosas más. Cuando sale un nuevo certificado, el sistema o navegador debe
actualizarse para poder obtener todo el registro y documentación del mismo y
así cuando el dispositivo intente acceder al sitio web con dicho certificado
pueda acceder con total normalidad. El problema sucede cuando un dispositivo
deja de recibir soporte o actualizaciones y por lo tanto cuando salen los
nuevos certificados ya no los podrá registrar. Por lo que si un sitio web llegara
a utilizar un nuevo certificado (independientemente si el contenido del sitio
web es un simple “hola mundo”) en el cual el dispositivo no tiene registrado ya
no podrá acceder y así poco a poco todos los sitios web van renovando cada
cierto tiempo sus certificados por lo que se reduce el número de sitios web al
que el dispositivo puede acceder dejándolo cada vez más inutilizable, entonces
tu dispositivo ya no funcionará como de antes no porque ha envejecido, sino
porque la tecnología va en un avance muy gradual y los dispositivos que ya no
la soportan se quedan fuera.
Lo que dice la prensa
La
prensa menciona que debido al vencimiento de uno de los certificados más
importantes y por lo tanto al trasladarse al nuevo certificado, muchos
dispositivos dejarán de conectarse a internet a partir del 30 de septiembre, al
no haber mucha explicación, una gran cantidad de dispositivos se quedarían fuera
a menos de que sigan recibiendo soporte o alguna actualización para poder
registrar o validar el nuevo certificado. Para colmo, muchos de estos
dispositivos o sistemas apenas tienen cerca de 5 años de antigüedad lo cual no
parece mucho. Los sistemas afectados son los siguientes:
• Dispositivos
iPhone, iPad o iPod touch que tengan versión iOS 9 o inferior
• Dispositivos
con Android 2.3.7 o inferior (y según, entre las versiones 3.0 hasta la 7.1.1 seguirán
funcionando pero con inestabilidades)
• Equipos
con Windows XP SP3 o anteriores
• Ubuntu
16.04 o inferior
• Mac
OS versión 2016 o inferior
• Navegador
Firefox con versiones inferiores a la 50
• BlackBerry
en versiones inferiores a la 10.3.3
• Todas
las videoconsolas de sobremesa de 7ª generación para abajo y las consolas portátiles
como el 3DS o PS vita
• Amazon
Kindle en versiones inferiores a la 3.4.1
• Varias
Smart TVs, algunos celulares desechables con KaiOS entre otros.
Por
lo que, viendo la lista, es absurdamente demasiada y varios sistemas ni tienen
mucho tiempo en el mercado como Android 7.1.1 o el Mac OS 2016, por lo que prácticamente
una gran cantidad de usuarios quedarían afectados. Para más sal, apenas salen con
esta noticia apenas 5 días antes de que se efectúen los sucesos lo cual a fin
de cuentas es solo para generar pánico y por supuesto, estos sitios obtengan
más visitas, ya saben, más visitas + publicidad generada = más dinero.
Lo que realmente ha sucedido.
Let’s encrypt es una de
las tantas empresas que ofrece certificados web, solo que, como todo en la vida
existen certificados tanto gratuitos como de pago, en este caso, Let’s encrypt es
una autoridad de certificación gratuita sin ánimo de lucro y también es
open-source (código abierto), en el cual es una muy buena opción si somos como
desarrolladores de páginas web y queremos una certificación sin necesidad de
invertir costes para que nuestro sitio sea seguro y confiable en cuanto al
envío de información. Uno de los certificados que ya había ofrecido desde hace
tiempo es el certificado DST Root CA X3 que
ya tiene muchos años y actualmente debido a que posiblemente ya se han
encontrado vulnerabilidades, ya no es seguro por lo que Let’s encrypt dejará de
darle soporte a partir del 30 de septiembre y en su lugar se utilizará el
certificado ISRG Root X1 en el cual muchos
sistemas con algo de antigüedad no lo tienen todavía registrado.
Esto
principalmente afectará a algunas empresas pequeñas o medianas y también a desarrolladores
experimentales que utilicen dicho certificado web en sus sitios por lo cual
tendrán que migrar a un nuevo certificado donde no necesariamente tiene que ser
el que ofrece Let’s encrypt pero dado que como las otras alternativas la
mayoría son de pago, algunas empresas no pueden invertir o les es rentable pagar
un nuevo certificado donde algunos pueden llegar a ser muy costosos, pero no
afecta para nada a las empresas grandes como Google, Facebook, Netflix, Amazon
entre otras.
Al
suceder esto, tarde o temprano los sitios afectados por el vencimiento del
certificado que se migren al nuevo certificado que ofrece Let’s encrypt, los
dispositivos más antiguos que se intenten conectar a esos sitios podrían
presentar problemas o hasta errores en el cual no se puede acceder al sitio web
por que no se puede validar el certificado. Cabe mencionar que esto no sucederá
de inmediato, sino que va a ser de manera gradual dependiendo de las decisiones
de los administradores de los sitios web.
Hay
que mencionar que el anuncio del vencimiento del certificado se dio a conocer en
el sitio oficial de Let’s encrypt el día 7 de mayo
de 2021, unos meses antes de que ocurra dicho efecto. Por lo que había
incluso mayor anticipación para estar preparados y ponerse a pensar que hacer
cuando dicho certificado caduque.
No hay de qué preocuparse
No
importa mucho si tienes un dispositivo en su hogar o compartido si aparece en
la supuesta “lista” en que dejarán de ser compatibles, lo de los certificados
web siempre ha sido y va a ser de manera gradual, aparece un nuevo certificado,
conforme pasa el tiempo se encuentran vulnerabilidades y se va quedando obsoleto
hasta que saquen otro nuevo, y si un equipo o dispositivo ya no recibe soporte
o actualizaciones, simplemente ya no aceptará los nuevos certificados y de
manera lenta y progresiva le costará más trabajo acceder a los sitios web. Tu
dispositivo antiguo debe seguir funcionando y deberá acceder todavía a la mayoría
de sitios web y no creo que deje de funcionar hasta que pasen posiblemente ya
muchos años.
Referencias
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
https://letsencrypt.org/2020/12/21/extending-android-compatibility.html
Comentarios
Publicar un comentario