Solucionado: Re: Caducidad de certificados SSL el próximo 30 de septiembre

RosaFernández · ‎24-09-2021

Buenas tardes. He leído que el próximo 30 de septiembre caducarán los certificados SSL que usan las páginas web HTTPS, y que hay que renovar cada cierto tiempo, normalmente cada varios años. Esto, por lo que cuentan, afectaría a dispositivos antiguos y no actualizados que no podrian acceder a internet.

Sendo mi router un modelo Home Station Observa BHS-RTA (es un modelo antiguo), me pregunto si me afectará el apagón y mi router dejará de funcionar / acceder a internet.

Muchas gracias.

Theliel · ‎24-09-2021

Buenas @RosaFernández

No tengo claro a que tipo de certificados dices que van a caducar el 30 de septiembre... la única "noticia" que pueda tener ligeramente relevancia es el certificado Raiz CA de LetEncript que ha usado en el pasado como firma cruzada.

Explicarte esto de forma detallada sería complicado, si solo quieres la respuesta simple, es que no tiene absolutamente nada que ver ni con los Router ni con tu línea ni nada de nada.

La respuesta extendida es algo más complicada porque tendrías que entender como funcionan los certificados de seguridad emitidos para el cifrado de las Webs https. Digamos que cualquiera, y cuando digo cualquiera quiero decir cualquiera, puede crear un certificado para cualquier dominio, sea suyo o no. Es decir, que si quiero puedo crear en 10 segundos un certificado digital que en teoría fuese para "google.es". Pero si todo fuese tan simple las páginas HTTPS no nos darían la menor seguridad, a fin de cuenta cualquiera podría, entre comillas, interceptar y descifrar el tráfico que es punto-a-punto entre el usuario y la web que visita.

Lo que da, por así decirlo, validez REAL al certificado, al igual que pasa con tu certificado personal (si tienes uno, como pueda ser el DNIe o CERES), es quien emite/firma dicho certificado. A la entidad emisora se le denomina CA (Autoridad certificadora) intermedio si hay otro CA por encima, CA raiz si es la instancia más elevada. Cuando se quiere que un certificado tenga digamos validez universal, asumimos que tiene que estar emitido/firmado por una entidad universalmente reconocible, es decir, una empresa/organización reconocida por los navegadores Web, sistemas operativos y otros, que garantizan que se han tomado las precauciones, pruebas, señas... que aseguran que TODOS los certificados que emiten son fiables.

LetEncrypt es una organización que desde hace pocos años ha removido todos los cimientos para bien, para la emisión de certificados, y hace relativamente poco, uno o dos años, su certificado raiz (ISRG Root X1) fue ya aceptado por la inmensa mayoría de software del mundo, con lo que sus certificados igualmente son validados y tomados por bueno.

Anteriormente a esto, LetEncrypt dependía de un CA raiz de terceros (IdenTrust), el cual tenía firmado un CA intermedio de LetEncrypt con el que firmaba los certificados emitidos. Este CA raíz, que es el que hablamos y es la "discordia" (DST Root CA X3), se encuentra instalado en esencia en el 99% de dispositivos del mundo, ya sean navegadores, móviles... es un certificado "viejo", ten en cuenta que los CA raíces suelen tener una validez de muchos años, en contra de los certificados finales, precisamente por la importancia de un CA raiz. Pero como todo, llega a su fin, y a fina de septiembre caducará.

Eso implica realmente que cualquier web que aun use cualquier certificado, emitido por quien sea, cuyo CA raiz más alto sea DST Root CA X3 (IdenTrust), dejarán de ser accesibles... bueno, realmente serán accesibles, pero el navegador mostrará una advertencia de seguridad al respecto, bloqueando por defecto el acceso.

Así que realmente esto no tiene absolutamente nada que ver contigo, ni con tu Router ni con tu navegación diaria, a menos que de la casualidad que accedas a una web a partir del 30 de Septiembre que aun esté usando el certificado raiz explicado, pero eso no sería culpa tuya, sino del webmastar/administrador de la web.

Respecto al Router, de echo, si intentases acceder por https, o directamente no podrías o te mostraría una advertencia de seguridad, precisamente porque usan certificados autofirmados, no es viable que el Router cumpla las condiciones necesarias para que un CA reconocido emita un certificado válido en este, y además pueda instalarlo. Pero esto es como digo totalmente normal. Además, que un certificado final no se considere "validado" por una entidad CA universal, no implica que no tenga su gran utilidad. Muchos usamos certificados propios para multitud de tareas sin importarnos si el resto del mundo puede validarlo, ya sabemos que no va a ser validado, pero nos permite cifrar el tráfico entre el dispositivo origen/destino, que realmente es lo que nos importa.

Saludos.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

RosaFernández · ‎24-09-2021

Muchas gracias, @Theliel , por tu amable y detallada explicación. Mi pregunta se debe a que dentro de las varias webs que en los últimos días nos recuerdan que el 30 de septiembre caducal protocolos SSL de hace 20 años, aquí https://www.businessinsider.es/millones-aparatos-tecnologicos-podrian-quedarse-internet-30-septiembr... , luego de detallar los problemas que podemos tener con iPhone, PS3 y 4, Android, ordenadores usando aún XP (¿de verdad hay ordenadores correndo ese obsoleto sistema operativo?), etc., dice:

"La situación es más dudosa en aparatos del Internet de las cosas como Smart TV, neveras inteligentes, routers... Si el aparato es de antes del 2017, seguramente se verá afectado al respecto, sobre todo si no ha recibido ninguna actualización reciente del firmware."

Habla de routers, y el mío es de mucho antes de 2017. Y, claro, entonces me ha entrado el miedo a que mi router se vea afectado. ¿No hay verdadero riesgo de que el router no pueda acceder a internet desde el 30 de septiembre?

Un saludo.

Theliel · ‎25-09-2021

Buenas @RosaFernández

Ten en cuenta que la mayoría de esas noticias lo que buscan es el alarmismo, por algo que lleva pasando desde siempre, y seguirá pasando, día tras día. Los certificados raices van caducando, y van apareciendo nuevos.

Te repito que para el Router es totalmente irrelevante.

Las conexiones se realizan punto-a-punto, es decir entre tus dispositivos y los servidores remotos (sean páginas Web u otros servicios). El problema radica en que dichos puntos remotos que hasta ahora usaban como certificado raíz el citado dst root ca x3 (pero puede ser otro), tendrán que actualizarlo y pasar a usar otro certificado raiz, porque ese estará caducado. Esto no entraña ningún problema por lo general.

El problema puede estar potencialmente en equipos viejos (finales, repito, el Router no tiene nada que ver), que al no tener ya soporte no incluyen a lo mejor los certificados raíces nuevos que esas web vayan a instalar. Pero no porque el certificado haya caducado, simplemente porque el que van a usar ahora es relativamente reciente, y esos equipos tan viejos no lo tienen por defecto en sus almacenes de certificados confiables.

Es totalmente falso decir que esos dispositivos se quedan sin Internet. Por ejemplo pongamos que hablamos de Windows XP. Windows XP tiene un almacén de certificados preinstalado. Posiblemente el que decimos (y otros) dejarán de funcionar. Eso no significa que Internet no funcione ni mucho menos, lo que significa es que por defecto si se intenta acceder a las web que hayan modificado el certificado, y esté firmado por CA que Windows no tiene en su almacen de certificados, va a dar error. Pero esto se soluciona en 2 segundos en Windows, simplemente hay que instalar el certificado raíz del CA y listo. El problema es que esto no es automático porque Windows XP dejó de tener soporte hace muchos muchos años.

Esto lo puedes extrapolar a cualquier otro dispositivo FINAL, repito, FINAL, dispositivos que se conectan a servicios Web por lo general, como pueda ser un PC, un móvil... Un Router no requiere nada de eso, y aun cuando lo requiriese, por políticas internas del propio Router, simplemente permitiría la conexión igualmente aun sin validar el certificado.

Por qué puede pasar en teléfonos Android Apple Muy viejos?? Por la misma razón, porque los certificados raices que tienen por defecto son viejos, y algunos pueden caducar. Al no tener soporte no tendrán un almacen de certificados actualizados, y si intentan acceder a webs con certificados emitidos por CA más nuevos, pues no podrán. Pero esto de nuevo se puede subsanar de forma simple, bastaría simplemente con instalar en el dispositivo el certificado CA raiz pertinente.

En el único caso que podría dar algún problema serían en dispositivos domóticos viejos, los cuales no suelen permitir la inclusión de certificados raices de forma externa. Y aun así no daría tampoco problemas generalizados, solo en aquellas Webs que se han visto obligadas a usar otros certificados emitidos por otros CA.

----------

En resumen?? No tienes que preocuparte absolutamente de nada, da igual los años que tenga tu Router, como si pasan otros 20 años más y siguieses teniendo el mismo. No te afecta en nada. Ni siquiera deberías, al 99%, preocuparte por ninguno de tus dispositivos, simplemente no te darás cuenta de nada, ni de que ha caducado algo ni de que no ha caducado. Todo será igual de un día para otro.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

RosaFernández · ‎25-09-2021

Muchas gracias por tu amable y detallada respuesta, @Theliel . La verdad es que visto tal como algunos medios informáticos lo ponen (el enlace que indiqué es uno representativo y lo mencioné porque hablaba concretamente de routers) es como si se acercase un nuevo Eefcto 2000... ése del que luego no pasó nada.

Mi miedo era que la antigüedad del router (me lo dejó el técnico que vino en 2015 o 16 para arreglar una avería, no funcionaba el que me traía y tuvo que dejarme uno que llevaba para ir de casa en casa y hacer las comprobaciones pertinentes; ya me advirtió que era un modelo antiguo, y en todos estos años se ha hecho más antiguo aún) provocase algo parecido a lo que dicen que va a padar con modelos antiguos de iPhone, PS3 y 4, etc., que el router tampoco tuviese ya actualizados los certificados raíz y al intentar visitar las webs HTTPS (que hoy son casi todas) no pudiese desde el día 30.

Un saludo.

Técnico-Movistar · ‎25-09-2021

Buenas tardes @RosaFernández

Comprobamos que has aceptado la solución aportada por @Theliel(al que agradecemos la colaboración) , te lo agradecemos mucho, es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

Por nuestra parte, procedemos al cierre de este hilo, para cualquier otra duda o consulta en el futuro ya sabes donde encontrarnos.

Un saludo.

Nacho.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Soporte Fibra y ADSL

Caducidad de certificados SSL el próximo 30 de septiembre