A incompatibilidade dos SSLs Let’s Encrypt pode comprometer milhões de sites em janeiro de 2021
3 de dezembro de 2020Um certificado de raiz expirando significa que 1 em cada 3 dispositivos Android será bloqueado em milhões de sites protegidos pelo Let’s Encrypt
Conforme o anunciou pelo site especializado em SSL The SSL Store, hoje dia 03/12/20, a partir de janeiro de 2021, a compatibilidade com os certificados Let’s Encrypt será reduzida, afetando tanto os proprietários de sites quanto os usuários.
O problema iminente é o resultado de Let’s Encrypt não mais fazer a assinatura cruzada com um certificado raiz de terceiros, isto é de outras Autoridades Cerificadoras.
Devido a essa mudança, determinados visitantes do site serão impedidos de acessar sites protegidos com Let’s Encrypt e serão recebidos com uma mensagem de erro semelhante à que você vê abaixo:
Então, o que exatamente levou a essa reviravolta? Quem será afetado pela mudança? E o que os proprietários de sites podem fazer para mitigar os danos?
Por que o problema?
Essa questão teve início em 2015, quando a Let’s Encrypt foi fundada pelo Internet Security Research Group (ISRG) e seus vários parceiros.
Como seu próprio certificado raiz poderia levar anos para ser confiável pelos principais navegadores e sistemas operacionais, eles assinam de forma cruzada seus certificados com uma raiz confiável de Autoridades Certificadoras existentes. É um curso de ação típico para novas ACs e, neste caso, Let’s Encrypt foi com IdenTrust e seu certificado DST Root X3.
Isso permitiu que o Let’s Encrypt começasse imediatamente a emitir certificados que também seriam confiáveis em toda a Internet. No entanto, avançando para os dias atuais, o IdenTrust DST Root X3 está cada vez mais perto de sua data de expiração em 30 de setembro de 2021.
O Let’s Encrypt tentou se preparar para esse evento de expiração, emitindo seu próprio certificado raiz, ISRG Root X1. Infelizmente, porém, ele ainda não tem a confiança abrangente que seu logo-ex-root IdenTrust tinha.
Apesar disso, o Let’s Encrypt começará a emitir certificados raiz encadeados ao certificado ISRG Root X1 em 11 de janeiro de 2021.
Uma vez que sua própria raiz não tem a confiança ampla da raiz IdenTrust, os usuários em certas plataformas mais antigas serão impedidos de acessar qualquer site que utilize um certificado Let’s Encrypt SSL / TLS.
Quem exatamente é afetado?
Embora a boa notícia seja que o problema afeta principalmente as plataformas mais antigas, a má notícia é que ainda há um grande número de pessoas usando-as.
O grupo mais significativo afetado é todo aquele que usa o Android 7.1.1 ou anterior e isso representa um total de 33,8% de todos os dispositivos Android ativos.
E sempre que visitarem um site protegido pelo Let’s Encrypt – atualmente 225 milhões de domínios se enquadram nessa categoria – eles encontrarão erros de certificado e telas de aviso como vimos acima.
Os ciclos de atualização de software podem ser glaciais em sua lentidão, especialmente com o sistema operacional Android.
Conforme o artigo do The SSL Store, o problema raiz aqui não é a falha do Let’s Encrypt – o verdadeiro problema aqui é a lentidão das atualizações de software para muitas plataformas.
Os fabricantes e / ou operadoras de celular geralmente modificam o sistema operacional antes de carregá-lo em seus próprios dispositivos e passá-lo aos usuários finais.
Versões mais antigas do Java também são afetadas pela mudança na raiz.
Todos os clientes que usam versões Java anteriores a 1.8.0_141-b15 receberão avisos e / ou erros ao encontrar certificados Let’s Encrypt.
Esses são os principais que conhecemos até agora, mas como vimos anteriormente com expirações de root, mais problemas de compatibilidade podem surgir com outras plataformas.
Ações Recomendadas
Os proprietários de sites têm algumas opções diferentes à sua disposição para mitigar o impacto da expiração da raiz.
Em primeiro lugar, exibir um aviso aos visitantes que estão usando versões mais antigas do Android que eles precisam atualizar antes de usar o seu site. Eles podem atualizar o Android ou mudar seu navegador para o Firefox Mobile graças ao fato de que ele depende de sua própria lista (e regularmente atualizada) de certificados raiz, em vez da do sistema operacional.
Segundo artigo escrito Mark Vojtko essa medida talvez seja um ótimo remédio em teoria, também é improvável que seja muito eficaz, pois a maioria dos usuários não vai querer ter o trabalho de atualizar seu dispositivo ou trocar de navegador apenas para visitar um site.
Você também pode parar de oferecer suporte a versões mais antigas. No entanto, isso pode levar a usuários frustrados, um aumento nas solicitações de suporte e perda de receita com a redução do tráfego.
Os proprietários de sites que usam ACME podem modificar suas configurações de cliente para continuar a usar os certificados de assinatura cruzada Let’s Encrypt.
No entanto, isso só funcionará até setembro de 2021. No entanto, pode ganhar algum tempo para implementar sua solução de longo prazo.
Certificados de autoridades confiáveis e estabelecidas têm usado suas próprias raízes confiáveis por muitos anos e assinam usando suas próprias raízes mais antigas para garantir compatibilidade total.
Dica: se você não tiver certeza de como isso afetará os usuários do seu site, pode usar o Google Analytics para identificar quantos usuários do seu site estão usando o Android 7.1.1 ou mais antigo.
Nosso site recebe cerca de 4.000 visitas por mês de pessoas que usam essas versões mais antigas do Android, mas o impacto pode variar dependendo do público-alvo de seu site.
Seguindo em Frente
O Let’s Encrypt começará a usar sua nova raiz menos confiável em pouco mais de um mês, portanto, é melhor descobrir como você procederá o mais rápido possível.
Especialmente porque quase um terço de todos os dispositivos Android serão afetados.
Nenhuma opção é perfeita. Você pode colocar a responsabilidade sobre seus usuários, mas depende deles para atualizar seus dispositivos ou então ser bloqueados em seu site. Ou você pode mudar para uma CA com uma raiz totalmente confiável em dispositivos novos e antigos. Exige algum esforço de sua parte, mas parece um preço pequeno a pagar para manter a confiança que você construiu com sua base de usuários e tirar o problema de suas costas. De qualquer forma, certifique-se de estar preparado para 11 de janeiro!
Por Mark Vojtko
After starting his career as an engineer, Mark pivoted to tech marketing, which combines his love of technology and analytical thinking with a generous dose of creativity. In addition to contributing to Hashed Out, Mark is The SSL Store’s Product Marketing Manager.
Fonte: https://www.thesslstore.com
Black Friday 2020: como saber se um site é seguro?
Fortinet VPN com configurações padrão deixa 200.000 empresas abertas aos hackers
Governo russo deseja proibir criptografia TLS 1.3
Explicando os protocolos de segurança SSL e TLS
How to manage your TLS certificates under Google’s new rules? Hear
Maximum Lifespan of SSL/TLS Certificates is 398 Days Starting Today
Windows 10 e o Transport Layer Security (TLS) 1.3
Dicas para melhorar a segurança na Era da computação pós-quântica
CIOs estão preocupados sobre os riscos de segurança do certificado TLS
Vender na pandemia: saiba como o certificado SSL pode ser um aliado. Ouça