HTTPS/Expiración del certificado raíz Let's Encrypt en 2021
¿De qué se trata esto?
Se trata de un problema de compatibilidad especial de HTTPS vinculada con clientes bastante desactualizados que se conectan a ciertos sitios web, entre ellos los nuestros.
El 30 de septiembre de 2021 aproximadamente a las 14:00 UTC, un muy antiguo certificado raíz que se ha incluido en muchos clientes antiguos expirará y se hará inválido. Para esos clientes, este certificado era su único mecanismo para ser compatible con los certificados de servidor emitidos por Let's Encrypt. Este es un problema técnico complejo que se ha estado acercando desde hace un largo tiempo. Let's Encrypt estableció varias mitigaciones ingeniosas a medida que la fecha se acercaba para minimizar el impacto a los usuarios. Sin embargo, inevitablemente habrá algunos impactos en ciertos casos pocos comunes.
Los proyectos de la Fundación (incluido Wikipedia) hacen uso de los certificados de Let's Encrypt en algunos de nuestros servidores sustitutos y por eso estos impactos afectarán a un número reducido de usuarios de nuestros proyectos, pero este problema no es específico de nuestros proyectos. Let's Encrypt hace seguros millones de dominios a través de internet, por lo que el impacto de esta expiración se sentirá de forma amplia, y los clientes afectados simplemente no podrán funcionar adecuadamente en el internet en general después de la fecha de interrupción.
Para más información de los detalles técnicos complejos que son la base de este problema, la mejor fuente es la publicación de blog exhaustiva de Scott Helme sobre el tema.
También léase este mensaje de la lista de correo de la nube.
Problemas de compatibilidad
En términos amplios, la mayoría del software que se actualizó en los últimos cinco años no debería contrarse afectado y la mayor parte de los dispositivos de hardware de los últimos diez años deberían ser capaces de obtener las actualizaciones de software necesarias. Abajo se mencionan los casos específicos de los que estamos al tanto en varias plataformas que podrían enfrentar nuevos problemas de compatibilidad al conectarse con nuestros sitios a partir del 30 de septiembre:
Android
Hasta donde sabemos, nuestro nivel actual de soporte de Android debería permanecer sin cambios aproximadamente desde la versión 4.4 y superior (el alcance de la interrupción podría variar un poco debido a personalizaciones del sistema operativo por los fabricantes de dispositivos y/o por la instalación de navegadores web alternativos).
iOS
iOS9 se verá afectado por esta expiración, por lo que los usuarios necesitarán actualizar a iOS 10 (o superior), publicado hace más o menos cinco años. El iPhone 5 (lanzado hace aproximadamente nueve años) y teléfonos posteriores pueden actualizarse a iOS 10 o superior. Los dispositivos que se verán afectados serán principalmente los usuarios restantes del iPhone 4S, que no pueden actualizarse más allá de iOS 9. Todos los iPhone más antiguos que el 4S ya eran incompatibles con la configuración actual de TLS de Wikimedia.
macOS
macOS versión 10.11 (El Capitan) se ve afectado por esta expiración, por lo que los usuarios necesitarán actualizar a macOS 10.12.1 (Sierra) o superior, lanzado hace aproximadamente cinco años y soporta la mayor parte del hardware Mac de los últimos diez años. Todas las versiones de macOS más antiguas que 10.11 ya eran incompatibles con la configuración actual de TLS de Wikimedia.
Si una computadora Mac no puede actualizarse a macOS Sierra o más nuevo, otra opción es importar el certificado ISRG Root X1 en el Gestor de Llaveros y marcarlo como de confianza.
Windows
No existen nuevos problemas, pero deberíamos reiterar que XP y Vista están muy atrás en soporte de seguridad y no están recomendados, además de que podrían sufrir problemas de compatibilidad adicionales (por más detalles, véase wikitech:HTTPS/Browser Recommendations).
OpenSSL
En Linux y otros sistemas operativos de código abierto que usan la biblioteca OpenSSL, las versiones de OpenSSL 1.0.2 y anteriores podrían tener problemas con la expiración de este certificado. Estos problemas se pueden mitigar sin tener que actualizar OpenSSL de ser necesario, y el proyecto OpenSSL tiene información exhaustiva sobre este asunto. Los sistemas operativos afectados incluyen Debian 7 Wheezy, Ubuntu 16.04 Xenial y otros de la misma época (lanzados inicialmente hace aproximadamente cinco o más años).
Si la entrada de blog de OpenSSL citada arriba no funciona, existen algunas soluciones alternativas:
Java
Las actualizaciones oficiales de Java 8 anteriores a 8u141, lanzadas en julio de 2017, se ven afectadas por esta expiración, lo que podría afectar algunos robots y otras herramietnas automáticas que acceden a nuestros sitios. Las implementaciones alternativas de Java (como las de código abierto) podrían presentar problemas similares en sus versiones correlativas, y las actualizaciones de los proveedores deberían estar disponibles para atenderlos.