Los certificados digitales son uno de los pilares del protocolo TLS, el que nos asegura que nos estamos conectando al sitio web que hemos puesto en la barra de direcciones y el que cifra las comunicaciones, de manera que solo el sitio web y nosotros podamos ver lo que intercambiamos.
Los emiten las llamadas autoridades de certificación, empresas u organizaciones como Camerfirma, DigiCert o Entrust, y para que podamos conseguir uno deben verificar que tenemos el control del sitio web para el que queremos el certificado, evitando que otras personas intenten suplantarlo.
Una de las mayores autoridades de certificación actuales, Let’s Encrypt, una organización sin ánimo de lucro que ha ganado una popularidad enorme por ser un servicio gratuito y muy fácil de automatizar, ha detectado un posible problema de seguridad en su implementación del método ALPN usado para verificar la propiedad del dominio. Como consecuencia, y aplicando lo establecido en sus políticas, ha decidido revocar el 28 de enero todos los certificados que se hayan verificado con ese método emitidos antes de las 00:48 horas UTC del 26 de enero de 2022.
De entre todos los métodos de validación disponibles, ALPN es el menos usado, por lo que la revocación afecta a menos del 1% del total de certificados activos, según datos de la propia Let’s Encrypt. Puede parecer poco, pero actualmente hay cerca de 220 millones de certificados activos suyos en total, por lo que se revocarán unos 2,2 millones de certificados, aunque es probable que buena parte de ellos se estén usando en servidores no accesibles al público general.
Esta es la segunda noticia importante relativa a los certificados emitidos por Let’s Encrypt en los últimos meses. En septiembre del año pasado caducó uno de sus certificados raíz, los que se usan para validar los que emite, lo que pasó desapercibido para los sistemas que se mantienen actualizados, pero afectó a los que no. En ningún caso se puede achacar estos fallos a Let’s Encrypt, que avisó del cambio y lo preparó con meses de antelación, pero debe llamar la atención sobre la importancia que ha cobrado este servicio y sobre la necesidad de estar al tanto de sus avisos.
José Couto, responsable de Seguridad en Paradigma Digital
