Incidente con el certificado CA en Let’sEncrypt.
En Geko Cloud hemos detectado un problema relacionado con la confianza de la CA del certificado Letsencrypt con respecto a un certificado de CA que venció ayer30/09/2021.
Este problema consiste en que los clientes identificarán incorrectamente los certificados válidos correctos como inválidos, porque la CA en la que se basan ahora no es válida y el software del cliente no se actualizó para confiar en la nueva CA, por lo que ahora está dando estos problemas de autenticación. Hemos identificado que esto es un problema con clientes de software más antiguos como curl, o versiones más antiguas de lenguajes de programación como php que no tienen esta CA instalada en ellos y, por lo tanto, no pueden acceder a los clientes con certificados de letsencrypt.
Alcance
Versiones de software afectadas (aunque seguimos detectando nuevos comportamientos anómalos):
– OpenSSL <= 1.0.2
– Windows <XP SP3
– macOS <10.12.1
– iOS <10 (iPhone 5 es el modelo más bajo que puede llegar a iOS 10)
– Android <7.1.1 (pero> = 2.3.6 funcionará si se sirve el signo cruzado de ISRG Root X1)
– Mozilla Firefox <50
– Ubuntu <16.04
– Debian <8
– Java 8 <8u141
– Java 7 <7u151
– NSS <3,26
– CDN como CloudFlare
– Amazon FireOS (navegador Silk)
Este es un efecto que no solo pueden sentir los usuarios o las aplicaciones cliente, sino también la propia aplicación. Por ejemplo, si su aplicación se ejecuta en un sistema que usa una versión inferior a la detallada anteriormente, como un servidor web con openssl 1.0.1, las solicitudes a cualquier servicio respaldado por letsencrypt fallarán.
Remediación
La solución a este problema es actualizar la versión de cliente de la pila de software para que confíe en la nueva CA raíz como una solución completa. También puede parchear el problema modificando su software para que no verifique la validez de la CA, aunque tenga en cuenta que esta debe ser una solución temporal, ya que es una práctica de software insegura y no debe dejarse aplicada en un entorno de producción. más tiempo del necesario.
Aquí hay más información técnica sobre este problema:
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/