Certificado R3 vencido en Let's Encrypt (septiembre 2021)
Descripción
Los sitios web y servicios de correo protegidos por certificados de Let's Encrypt están presentando errores de acceso en algunos sistemas operativos desactualizados, desde el 30 de septiembre de 2021.
Síntomas
Al acceder al sitio web o correo electrónico protegido con certificados Let's Encrypt, se muestra la clásica advertencia de "sitio inseguro" y el error ERR_CERT_AUTHORITY_INVALID.
También se observa que el certificado SSL de Let's Encrypt muestra el hostname del servidor en lugar del nombre de dominio real del dominio que figura en el certificado.
Esto está provocando alertas de seguridad del navegador y errores del cliente de correo electrónico en sistemas operativos que ya no reciben actualizaciones.
Causa
A partir del 30 de septiembre de 2021, el certificado DST Root CA X3 o también "R3" que se utiliza en la cadena de confianza para Let's Encrypt ha caducado, lo que provoca que los clientes que no reconocen su cadena de reemplazo actualizada, el certificado ISRG Root X1, fallen en las comprobaciones de seguridad al acceder a sitios que utilizan Let's Encrypt para su proveedor SSL.
Los detalles sobre este problema se pueden encontrar en la siguiente publicación realizada por Let's Encrypt (oficial): https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
El vencimiento de este certificado raíz afecta a los sistemas operativos de clientes obsoletos, incluidos los siguientes:
- Windows < XP SP3
- Windows 7 (sin la actualización de certificados raíz específica instalada).
- macOS < 10.12.1
- iOS < 10
- Android < 7.1.1
- Ubuntu < 16.04
- Debian < 8
Solución
1) Regenera tu certificado de Let's Encrypt en tu cuenta o sitio web, para que utilice la nueva cadena de certificados raíz cross-signed para que sea retro-compatible con versiones de sistemas operativos desactualizados.
2) A los clientes que sigan con errores, deberán instalar las últimas actualizaciones del sistema operativo de su computadora o dispositivo móvil (Windows, Android, MacOS, etc.). En caso de ser un sistema obsoleto, deberán reemplazarlo por uno nuevo y actual.
-
Justo iba a preguntar y me encontré con este tread... qué grande WNpower, gracias!!!!
0 -
TIP: Recreando el certificado en Plesk se arregla el error (probado en Windows 10 con Firefox y Chrome)
1
Iniciar sesión para dejar un comentario.
Comentarios
2 comentarios