Um dos maiores provedores de certificados HTTPS, Let's Encrypt , viu seu certificado raiz expirar esta semana - o que significa que você pode precisar atualizar seus dispositivos para evitar que eles quebrem.
Let's Encrypt, uma organização sem fins lucrativos de uso gratuito, emite certificados que criptografam as conexões entre seus dispositivos e a Internet em geral, garantindo que ninguém possa interceptar e roubar seus dados em trânsito. Somente milhões de sites contam com o Let's Encrypt. Mas, conforme avisado pelo pesquisador de segurança Scott Helme, o certificado raiz que Let's Encrypt usa atualmente - o IdentTrust DST Root CA X3 - foi definido para expirar em 30 de setembro. Após a expiração, computadores, dispositivos e clientes da web - como navegadores - não irão certificados mais confiáveis que foram emitidos por esta autoridade de certificação.
Para a grande maioria dos usuários do site, não há nada com que se preocupar e 30 de setembro será um dia normal. Dispositivos mais antigos, no entanto, podem ter alguns problemas, assim como ocorreram quando o AddTrust External CA Root expirou em maio. Como resultado, Stripe, Red Hat e Roku sofreram interrupções.
“Dada a diferença de tamanho relativa entre Let's Encrypt e AddTrust, tenho a sensação de que a expiração da raiz do IdenTrust tem o potencial de causar mais problemas”, alertou Helme em uma postagem de blog , referindo-se à expiração iminente.
"Pelo menos algo, em algum lugar vai quebrar."Scott Helme, pesquisador de segurança
Os dispositivos que podem ser afetados pela expiração do certificado são aqueles que não são atualizados regularmente, como sistemas incorporados que não são projetados para serem atualizados automaticamente ou smartphones que executam versões de software com anos de idade. Os usuários que executam versões anteriores do macOS 2016 e do Windows XP (com Service Pack 3) provavelmente enfrentarão problemas, junto com clientes dependentes do OpenSSL 1.0.2 ou anterior e PlayStations mais antigos que não foram atualizados para um firmware mais recente.
Embora o Android, nas palavras do Let's Encrypt , tenha um “problema antigo e bem conhecido com as atualizações do sistema operacional”, a organização sem fins lucrativos tem uma solução alternativa que pode impedir que a maioria dos smartphones seja afetada pelo vencimento. A organização este ano fez a transição para seu próprio certificado ISRG Root X1, que não expira até 2035. Embora muitos dispositivos Android ainda não confiem neste certificado - ou seja, versões do Android (Nougat) 7.1.1 e anteriores - Let's Encrypt obteve um assinatura cruzada para seu próprio certificado que é válido por mais tempo do que a raiz de assinatura, o que significa que a maioria dos dispositivos Android deve permanecer livre de falhas por mais três anos.
Alguns dispositivos Android ainda podem ter problemas, Let's Encrypt disse, e é recomendável que os usuários que executam o Android (Lollipop) 5.0 instalem o Firefox.
“Para o navegador integrado de um telefone Android, a lista de certificados raiz confiáveis vem do sistema operacional - que está desatualizado nesses telefones mais antigos”, explica Let's Encrypt. “No entanto, o Firefox é atualmente único entre os navegadores - ele vem com sua própria lista de certificados raiz confiáveis.”
A Let's Encrypt, que no início de setembro emitiu mais de dois bilhões de certificados desde sua fundação em 2014, disse ao TechCrunch que os usuários deveriam observar quantos clientes estão usando versões afetadas do OpenSSL e sistemas operacionais antigos. Seu conselho para aqueles que não podem atualizar é "verificar se faz sentido servir uma cadeia de certificados com nosso novo sinal cruzado
0 Comentario "O certificado raiz do Let's Encrypt expirou e pode danificar seus dispositivos"
Postar um comentário