O certificado raiz DST Root CA X3 expirou em 30 de setembro às 14:01:15 de 2021 GMT
Por Regina Tupinambá
Hoje – 30 de setembro de 2021 às 14:01:15 de 2021 GMT – houve uma mudança radical – prevista e anunciada – no modo como os navegadores e dispositivos mais antigos confiam nos certificados SSL da emitidos pela Let’s Encrypt.
Trata-se do certificado denominado IdentTrust DST Root CA X3, emitido pela organização Let’s Encrypt. Isso se torna um problema, pois muitos clientes não conseguem atualizar de forma automática a cadeia de confiança e, se isso não acontecer, não há como um novo certificado substituir o que está expirando.
Let’s Encrypt é uma organização sem fins lucrativos que emite certificados que criptografam as conexões entre seus dispositivos e a Internet em geral, garantindo que ninguém possa interceptar e roubar seus dados em trânsito. Milhões de sites utilizam certificados digitais emitidos pela Let’s Encrypt.
O certificado raiz mais antigo (DST Root CA X3) – cadeia utilizada pela Let’s Encrypt – foi util para a empresa adquirir de forma instantânea no momento em que iniciou sua operação, a confiança necessária para atuar nesse segmento de mercado.
Dessa forma, foi possível que todos os dispositivos reconheceram seus certificados SSL. Caso a Let’s Encrypt não utilizasse uma cadeia de confiança antiga, seria necessário distribuir sua raiz para fornecedores de softwares e hardwares do mundo todo e ter um enorme trabalho para que empresas e usuários baixassem sua raiz.
Só assim seus certificados SSL teriam a interoperabilidade para estabelecer o handshake entre dispositivos, softwares e os servidores web e fechar a conexão criptografada e segura.
Veja que todos os certificados emitidos já levavam essa informação em seus campos principais.
Para a maioria dos dispositivos, hoje é um dia normal e essa mudança passou desapercebido pois os fornecedores de software e hardware há muito tempo atualizaram seus firmware e sistemas operacionais.
No entanto, aqueles outros dispositivos abandonados pelos seus fabricantes após o fim do seu suporte oficial e que, por isso, deixaram de receber atualizações, ficarão repentinamente sem acesso à internet isso inclui, por exemplo:
- Sistemas integrados projetados para não serem atualizados automaticamente
- Smartphones com versões de software antigas.
- Versões do macOS anteriores ao macOS 10.12.1
- Versões do MS Windows anteriores ao Windows XP Service Pack 3
- PlayStations mais antigos que ainda não receberam atualizações de firmware
- Em geral, todo software baseado em OpenSSL 1.0.2 ou anterior
No caso do Android, Let’s Encrypt anunciou que lançou um sistema de assinatura cruzada que ‘compra’ mais três anos de validade para dispositivos equipados com Android 7.1.1 ou inferior, embora usuários que utilizem versões a partir do 5.0. instalar um navegador Firefox para evitar problemas durante a navegação (inclui certificado próprio, independente do sistema operacional).
A empresa já havia passado por algo semelhante em janeiro de 2021, conforme anunciamos aqui no Crypto ID – A incompatibilidade dos SSLs Let’s Encrypt pode comprometer milhões de sites em janeiro de 2021 – mas os especialistas afirmam que devido à sua grande utilização, a expiração do IdentTrust DST Root CA X3 causará muitos mais problemas do que o AddTrust, o certificado raiz que já expirou em maio passado e que já causou interrupções no sistema online disponibilidade de Red Hat, Roku ou Stripe.
Possíveis problemas
Segundo o portal Certify The Web, na maioria dos casos, os sistemas mudarão automaticamente para a próxima cadeia confiável que puderem encontrar, mas em alguns casos, a expiração da raiz DST Root CA X3 pode fazer com que os certificados sejam considerados não confiáveis ou inválidos.
Para consertar isso, os servidores precisaram migrar para uma cadeia válida.
Em outros casos, o problema pode ser com o computador ou outro dispositivo cliente.
Isso significa que os serviços do Windows como o IIS não podem servir conteúdo para sistemas operacionais mais antigos que não confiam ISRG Root X1
. Se você precisar de suporte legado, deverá alterar a Autoridade de Certificação.
Soluções para Servidores
O portal Certify The Web orienta como as empresas podem encontrar uma solução para o problema principalmente relacionados a servidores Windows que executam IIS ou outros serviços baseados em Windows que usam o armazenamento confiável do Windows.
Apache, nginx etc. têm seus próprios mecanismos de confiança.
Saiba mais sobre o assunto no portal Certify The Web.
Com informações de: Certify The Web, Genbeta e Let’s Encrypt
Extending Android Device Compatibility for Let’s Encrypt Certificates
A incompatibilidade dos SSLs Let’s Encrypt pode comprometer milhões de sites em janeiro de 2021
Bug no código da autoridade de certificação Let’s Encrypt [URGENTE !!!]
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.