Últimas notícias

Fique informado
Mais uma ocorrência envolvendo Certificados SSL Let’s Encrypt causam problemas de acesso aos usuários

Mais uma ocorrência envolvendo Certificados SSL Let’s Encrypt causam problemas de acesso aos usuários

30 de setembro de 2021

O certificado raiz DST Root CA X3 expirou em 30 de setembro às 14:01:15 de 2021 GMT

Por Regina Tupinambá

Hoje – 30 de setembro de 2021 às 14:01:15 de 2021 GMT – houve uma mudança radical – prevista e anunciada – no modo como os navegadores e dispositivos mais antigos confiam nos certificados SSL da emitidos pela Let’s Encrypt. 

Regina Tupinambá, sócia fundadora do Crypto ID

Trata-se do certificado denominado IdentTrust DST Root CA X3, emitido pela organização Let’s Encrypt. Isso se torna um problema, pois muitos clientes não conseguem atualizar de forma automática a cadeia de confiança e, se isso não acontecer, não há como um novo certificado substituir o que está expirando.

Let’s Encrypt é uma organização sem fins lucrativos que emite certificados que criptografam as conexões entre seus dispositivos e a Internet em geral, garantindo que ninguém possa interceptar e roubar seus dados em trânsito. Milhões de sites utilizam certificados digitais emitidos pela Let’s Encrypt. 

O certificado raiz mais antigo (DST Root CA X3) – cadeia utilizada pela Let’s Encrypt – foi util para a empresa adquirir de forma instantânea no momento em que iniciou sua operação, a confiança necessária para atuar nesse segmento de mercado.

Dessa forma, foi possível que todos os dispositivos reconheceram seus certificados SSL. Caso a Let’s Encrypt não utilizasse uma cadeia de confiança antiga, seria necessário distribuir sua raiz para fornecedores de softwares e hardwares do mundo todo e ter um enorme trabalho para que empresas e usuários baixassem sua raiz.

Só assim seus certificados SSL teriam a interoperabilidade para estabelecer o handshake entre dispositivos, softwares e os servidores web e fechar a conexão criptografada e segura.

Veja que todos os certificados emitidos já levavam essa informação em seus campos principais.

Imagem publicada por Genbeta

Para a maioria dos dispositivos, hoje é um dia normal e essa mudança passou desapercebido pois os fornecedores de software e hardware há muito tempo atualizaram seus firmware e sistemas operacionais.

No entanto, aqueles outros dispositivos abandonados pelos seus fabricantes após o fim do seu suporte oficial e que, por isso, deixaram de receber atualizações, ficarão repentinamente sem acesso à internet isso inclui, por exemplo:

  • Sistemas integrados projetados para não serem atualizados automaticamente
  • Smartphones com versões de software antigas.
  • Versões do macOS anteriores ao macOS 10.12.1 
  • Versões do MS Windows anteriores ao Windows XP Service Pack 3 
  • PlayStations mais antigos que ainda não receberam atualizações de firmware 
  • Em geral, todo software baseado em OpenSSL 1.0.2 ou anterior 

No caso do Android, Let’s Encrypt anunciou que lançou um sistema de assinatura cruzada que ‘compra’ mais três anos de validade para dispositivos equipados com Android 7.1.1 ou inferior, embora usuários que utilizem versões a partir do 5.0. instalar um navegador Firefox para evitar problemas durante a navegação (inclui certificado próprio, independente do sistema operacional).

A empresa já havia passado por algo semelhante em janeiro de 2021, conforme anunciamos aqui no Crypto ID – A incompatibilidade dos SSLs Let’s Encrypt pode comprometer milhões de sites em janeiro de 2021 – mas os especialistas afirmam que devido à sua grande utilização, a expiração do IdentTrust DST Root CA X3 causará muitos mais problemas do que o AddTrust, o certificado raiz que já expirou em maio passado e que já causou interrupções no sistema online disponibilidade de Red Hat, Roku ou Stripe.

Possíveis problemas

Segundo o portal Certify The Web, na maioria dos casos, os sistemas mudarão automaticamente para a próxima cadeia confiável que puderem encontrar, mas em alguns casos, a expiração da raiz DST Root CA X3 pode fazer com que os certificados sejam considerados não confiáveis ​​ou inválidos. 

Para consertar isso, os servidores precisaram migrar para uma cadeia válida.

Em outros casos, o problema pode ser com o computador ou outro dispositivo cliente.

Isso significa que os serviços do Windows como o IIS não podem servir conteúdo para sistemas operacionais mais antigos que não confiam ISRG Root X1. Se você precisar de suporte legado, deverá alterar a Autoridade de Certificação.

Soluções para Servidores

O portal Certify The Web orienta como as empresas podem encontrar uma solução para o problema principalmente relacionados a servidores Windows que executam IIS ou outros serviços baseados em Windows que usam o armazenamento confiável do Windows. 

Apache, nginx etc. têm seus próprios mecanismos de confiança.

Saiba mais sobre o assunto no portal Certify The Web.

Com informações de: Certify The Web, Genbeta e Let’s Encrypt

Extending Android Device Compatibility for Let’s Encrypt Certificates

O empresário Daniel Nascimento, em entrevista sobre a incompatibilidade dos certificados da Let’s Encrypt

A incompatibilidade dos SSLs Let’s Encrypt pode comprometer milhões de sites em janeiro de 2021

Bug no código da autoridade de certificação Let’s Encrypt [URGENTE !!!]

Navegue mais no Crypto ID! Você vai gostar muito do nosso conteúdo!

ASSINATURA ELETRÔNICA E DIGITAL | BIOMETRIA | BLOCKCHAINCARREIRASCIBERSEGURANÇA | CLOUD | COLUNISTAS | DOCUMENTOS ELETRÔNICOS | EDUCAÇÃO | ENTREVISTASEVENTOS | INTELIGÊNCIA ARTIFICIAL | INTERNATIONAL NEWSINTERNET DAS COISAS | NOTÍCIAS | PESQUISAS E ESTUDOSPROTEÇÃO DE DADOS