Home
Problema de caducidad de la raíz del certificado SSL de Sectigo – Blog

Problema de caducidad de la raíz del certificado SSL de Sectigo – Blog

No Comments Conocimiento

Nos ha llamado la atención que algunos de nuestros clientes han experimentado interrupciones en los servicios de su sitio web o errores causados ​​por la expiración del certificado raíz de Sectigo el 30 de mayo.

Si ejecuta un sitio web o blog estándar con un y aún ve su candado en el navegador, es probable que este problema no le afecte y no necesite realizar ninguna otra acción. Su sitio web debería funcionar normalmente en los navegadores actuales.

Si su sitio web u otro servicio en línea utiliza otras aplicaciones o integraciones como API, сURL, OpenSSL, etc., es posible que haya experimentado problemas o interrupciones. Si ha tenido interrupciones o errores en el servicio o sus visitantes utilizan navegadores anteriores a 2015 e informan problemas, deberá tomar medidas para actualizar el servicio.

Y como arreglarlo.

Nos gustaría compartir más detalles con nuestros clientes sobre el incidente.

¿Qué pasó?

Comencemos con una explicación de cómo varias aplicaciones utilizan los certificados SSL. Siempre que una aplicación (por ejemplo, un navegador) contacta con un servicio web a través del protocolo SSL/TLS, el servicio web proporciona un conjunto de certificados SSL a la aplicación. Luego, la aplicación verifica que fueron emitidos para el servicio al que accede la aplicación, que la fecha de vencimiento de los certificados no ha pasado y que los certificados fueron firmados por una autoridad certificadora confiable.

Para verificar esto último, la aplicación intenta vincular los certificados proporcionados a uno de los certificados contenidos en su almacenamiento de confianza. Este almacenamiento de confianza se distribuye junto con el sistema operativo, el sistema de ejecución, el navegador o la propia aplicación. Si se pasan todas las comprobaciones, la aplicación continúa la comunicación a través del protocolo seguro. De lo contrario, la aplicación interrumpe la conexión o informa al usuario sobre posibles amenazas a la seguridad.

La raíz de CA externa AddTrust de Sectigo fue válida por 20 años hasta el 30 de mayo de 2020 y se consideró heredada. Utilizando la certificación cruzada, la Autoridad de Certificación emitió un par de nuevos certificados raíz en 2010, que son válidos hasta 2038, para reemplazar el raíz heredado. Los nuevos certificados raíz se distribuyeron mediante actualizaciones de seguridad a la mayoría de las aplicaciones de software que utilizan el protocolo SSL/TLS a mediados de 2015.

See also  Alquile servidores dedicados desde $44.88/mes - Lista de precios de hosting

Continuaron proporcionando estos certificados con los paquetes de CA que incluían (que expiraron el 30 de mayo de 2020) hasta el 30 de abril de 2020, para garantizar que los certificados tengan la ubicuidad más amplia posible (compatibles con la mayoría de los dispositivos y sistemas, incluidos los heredados). ).

Como resultado, muchos clientes instalaron sus certificados SSL junto con el paquete de CA que debía caducar antes que el certificado de entidad final (el emitido para el nombre de dominio).

Gracias a los nuevos certificados raíz con firma cruzada, todos los navegadores modernos tienen raíces nuevas y caducadas y cambian automáticamente al uso de los nuevos certificados raíz. Los usuarios de estos navegadores no experimentaron ningún problema debido a la caducidad.

Aparte de eso, la expiración del certificado raíz no puso en riesgo los datos transmitidos a través de conexiones seguras. Sin embargo, cuando se trata de aplicaciones distintas a los navegadores que utilizan cURL, como bibliotecas SSL/TLS de varios lenguajes de programación y sistemas de tiempo de ejecución, algunas no estaban preparadas para el cambio.

Estas aplicaciones suelen utilizar métodos personalizados para verificar los certificados SSL. Es posible que no dependan de la forma en que el sistema operativo construye la cadena de confianza y no podrían cambiar al uso de los nuevos certificados raíz. Estas aplicaciones no tenían los nuevos certificados raíz, tenían una lógica de validación de ruta de certificado rota o estaban configuradas para confiar explícitamente en la raíz caducada. Para obtener información más detallada sobre los clientes afectados, consulte el .

La caducidad del certificado Raíz afectó:

  • Clientes heredados que no recibieron actualizaciones de seguridad desde antes de mediados de 2015
    • Apple Mac OS X 10.11 (El Capitán) o anterior
    • Apple iOS 9 o anterior
    • Google Android 5.0 o anterior
    • Microsoft Windows Vista y 7 si la función Actualizar certificados raíz ha estado deshabilitada desde antes de junio de 2010
    • Microsoft Windows XP si no se ha recibido una actualización raíz automática desde antes de junio de 2010
    • Mozilla Firefox 35 o anterior
    • Oracle Java 8u50 o anterior
    • Dispositivos integrados (especialmente fotocopiadoras) que no han instalado una actualización de firmware desde antes de mediados de 2015
  • Clientes configurados para confiar explícitamente en una de las raíces caducadas e ignorar el almacén de confianza administrado por el sistema operativo o el proveedor.
  • Software cliente basado en la biblioteca OpenSSL anterior a la versión 1.1.1
  • Algunos clientes OpenLDAP
  • Aplicaciones Java que no utilizan el almacén de confianza predeterminado
  • Clientes usando la herramienta
  • Clientes con alertas configuradas vía Pingdom u OpsGenie
  • Aplicaciones a las que se conecta cualquiera de los clientes afectados mediante el protocolo SSL/TLS
See also  Cómo crear un registro CNAME para su dominio - Dominios -

Como consecuencia de la expiración, varios servicios no pudieron iniciar conexiones seguras con otros servicios o no pudieron acceder a ellos desde otros servicios.

Cómo solucionar el problema

Si desea verificar si su servicio se ve afectado o necesita rectificar el problema, siga .

Por qué los clientes no fueron informados de antemano

No esperábamos que la expiración del certificado raíz afectara a nuestros clientes por varias razones.

Incluso si hay un certificado raíz instalado en el servidor que vence, los nuevos raíces ya están incluidos en el almacén de confianza de los navegadores y sistemas operativos modernos. Esto significa que cuando un usuario final accede al sitio web, la cadena de confianza del certificado se construirá a partir de los nuevos certificados raíz.

Debido a esto, no esperábamos que hubiera ningún problema con los sistemas modernos (incluidos el sistema operativo, las distribuciones, etc.).

Al final resultó que, cometimos un error y subestimamos la importancia del tema. No llevamos a cabo una investigación suficientemente exhaustiva sobre el tema. No nos dimos cuenta de que los sistemas y aplicaciones heredados con mecanismos de validación de certificados personalizados se utilizan ampliamente.

estuvo entre los que sufrieron el problema. El vencimiento de los certificados Raíz afectó algunos de nuestros servicios internos y provocó interrupciones el 30 de mayo de 2020.

¿Por qué recibí un paquete de CA caducado para SSL emitido en abril?

Sectigo cambió el paquete de CA proporcionado a los clientes 30 días antes del vencimiento de la raíz. Pero debido al error en nuestro sistema, continuamos proporcionando la CA raíz externa de AddTrust hasta la fecha de vencimiento, el 30 de mayo.

See also  Módulos PHP, límites y extensiones en servidores de hosting compartido - Hosting -

Una descripción del error: para aumentar la velocidad a la que recibimos los detalles del certificado del sistema Sectigo y reducir la carga de nuestro sistema, mantenemos todos los paquetes de CA en un caché y no los obtenemos directamente de la Autoridad de certificación cuando SSL se descarga desde una cuenta de usuario.

Este error ya se solucionó y todos los clientes ahora recibirán una cadena moderna al descargar el SSL de su cuenta.

Si experimenta algún problema causado por la cadena descargada de su cuenta, háganoslo saber de inmediato. Alternativamente, puedes.

¿Cómo nos aseguraremos de que el problema no vuelva a ocurrir?

Entendemos que el problema ha causado un tremendo inconveniente a muchos de nuestros clientes y nos disculpamos por ello.

Para evitar este tipo de problemas en el futuro, actualizaremos la forma en que nuestro sistema recibe el paquete CA de Sectigo para garantizar que solo se descargue la cadena relevante de una cuenta de usuario, con el mismo nivel de rendimiento del sitio web.

En el futuro, también informaremos a nuestros clientes sobre cualquier novedad y cambio de la Autoridad de Certificación y la industria SSL, para que los riesgos puedan mitigarse antes de que se produzca algún impacto.

Nos disculpamos por cualquier inconveniente para usted y su negocio. Por eso nos gustaría ofrecerle hasta un 20 % de descuento en todos los certificados SSL. Simplemente agregue cualquier certificado SSL a su carrito y use el código de cupón Problema raíz2020 en caja. El código de cupón es válido del 1 al 30 de junio de 2020.

Si aún tiene alguna pregunta o problema después, no dude en

Related posts:

  1. Registro de Dominio .digital | Compre un nuevo gTLD .digital por $2,98
  2. Instalar un certificado SSL en Apache – Alojamiento –
  3. ¿Quién controla el precio de los nombres de dominio .Com? – Blog de nombre barato
  4. Complementos de EasyWP: complemento de caché, complemento de SEO y complementos bloqueados – EasyWP –

Related Posts

Loading Facebook Comments ...
Loading Disqus Comments ...