Hemos notado que algunos de nuestros clientes han experimentado fallas en el servicio en su sitio web o errores causados por la expiración de un certificado de Sectigo Root el 30 de mayo.
Si está ejecutando un sitio web estándar o un blog con un certificado SSL y aún ve su candado en el navegador, probablemente no se vea afectado por este problema y no necesita realizar ninguna otra acción. Su sitio web debería funcionar normalmente en los navegadores actuales.
Si su sitio web u otro servicio en línea utiliza otras aplicaciones o integraciones como API, URL, OpenSSL, etc., es posible que haya encontrado problemas o fallas. Si ha tenido interrupciones o errores del servicio, o sus visitantes utilizan navegadores antes de 2015 y notifican problemas, deberá tomar medidas para actualizar el servicio.
Siga esta guía para verificar si su servicio se ve afectado y cómo solucionarlo.
Nos gustaría compartir más detalles con nuestros clientes sobre el incidente.
Comencemos con una explicación de cómo varias aplicaciones utilizan los certificados SSL. Siempre que una aplicación (por ejemplo, un navegador) contacta con un servicio web a través de SSL / TLS, el servicio web proporciona un conjunto de certificados SSL a la aplicación. Luego, la aplicación verifica que se emitieron para el servicio al que accede la aplicación, que la fecha de vencimiento del certificado no ha pasado y que los certificados han sido firmados por una autoridad de certificación de confianza.
Para verificar esto último, la aplicación intenta vincular los certificados proporcionados a uno de los certificados contenidos en su almacenamiento de confianza. Este almacenamiento confiable se distribuye con el sistema operativo, el sistema de tiempo de ejecución, el navegador o la propia aplicación. Si todas las comprobaciones tienen éxito, la aplicación continúa comunicándose a través del protocolo seguro. De lo contrario, la aplicación termina la conexión o informa al usuario de posibles amenazas a la seguridad.
La raíz de CA externa AddTrust de Sectigo fue válida durante 20 años hasta el 30 de mayo de 2020 y se consideró heredada. Utilizando la certificación cruzada, la CA emitió un par de nuevos certificados raíz en 2010, que son válidos hasta 2038, para reemplazar la raíz anterior. Los nuevos certificados raíz se distribuyeron mediante actualizaciones de seguridad a la mayoría de las aplicaciones de software que utilizan SSL / TLS a mediados de 2015.
Continuaron proporcionando estos certificados con los paquetes de CA que incluían la raíz de la autoridad de certificación externa de AddTrust y la Autoridad de Certificación RSA de USERTrust o la Autoridad de Certificación de ECC Intermedia de USERTrust (que expiró el 30 de mayo de 2020) hasta el 30 de abril de 2020, para garantizar que los certificados tengan la ubicuidad más amplia posible (compatible con la mayoría de los dispositivos y sistemas, incluidos los más antiguos).
Como resultado, muchos clientes instalaron sus certificados SSL con el paquete de CA que se suponía que caducaría antes del certificado de entidad final (el emitido para el nombre de dominio).
Gracias a los nuevos certificados raíz con firma cruzada, todos los navegadores modernos tienen raíces caducadas y nuevas y han cambiado automáticamente para usar los nuevos certificados raíz. Los usuarios de estos navegadores no han experimentado ningún problema debido al tiempo de espera.
Aparte de eso, la expiración del certificado raíz no puso en peligro los datos transmitidos a través de conexiones seguras. Sin embargo, cuando se trata de aplicaciones distintas de los navegadores que usan cURL, como bibliotecas SSL / TLS de varios lenguajes de programación y sistemas de ejecución, algunas no estaban preparadas para el cambio.
Estas aplicaciones suelen utilizar métodos personalizados para verificar los certificados SSL. Es posible que no dependan de cómo el sistema operativo construye la cadena de confianza y es posible que no utilicen los nuevos certificados raíz. Estas aplicaciones no tenían los nuevos certificados raíz, no tenían la lógica de validación de la ruta del certificado o estaban configuradas para confiar explícitamente en la raíz caducada. Para obtener más información sobre los clientes afectados, consulte el Investigación de la Universidad Carnegie Mellon.
El vencimiento del certificado raíz afectado:
Debido al vencimiento, varios servicios no pudieron establecer conexiones seguras con otros servicios o no fueron accesibles por otros servicios.
Si desea verificar si su servicio se ve afectado o si necesita solucionar el problema, siga esta guía.
No esperábamos que el vencimiento del certificado raíz afectara a nuestros clientes por varias razones.
Incluso si se instala un certificado raíz que vence en el servidor, las nuevas raíces ya están incluidas en la tienda confiable de los navegadores y sistemas operativos modernos. Esto significa que cuando un usuario final accede al sitio web, la cadena de certificados de confianza se creará a partir de los nuevos certificados raíz.
Por esta razón, no esperábamos que hubiera problemas con los sistemas modernos (incluido el sistema operativo, las distribuciones, etc.).
De hecho, cometimos un error y subestimamos la importancia del problema. No hemos realizado una investigación lo suficientemente exhaustiva sobre el asunto. No sabíamos que los sistemas heredados y las aplicaciones con mecanismos de validación de certificados personalizados se usaban ampliamente.
Namecheap fue uno de los que sufrieron este problema. La expiración de los certificados raíz afectó a algunos de nuestros servicios internos y provocó interrupciones el 30 de mayo de 2020.
Sectigo modificó el paquete de CA proporcionado a los clientes 30 días antes del vencimiento de la raíz. Pero debido al error en nuestro sistema, continuamos proporcionando la raíz de la CA externa de AddTrust hasta que expiró el 30 de mayo.
Una descripción del error: para aumentar la velocidad a la que recibimos los detalles del certificado del sistema Sectigo y reducir la carga en nuestro sistema, mantenemos todos los paquetes de CA en una caché y no los obtenemos directamente de la autoridad de certificación cuando un SSL se descarga desde una cuenta de usuario.
Este error ya se ha solucionado y todos los clientes ahora recibirán un canal moderno al descargar SSL desde su cuenta.
Si tiene algún problema causado por el canal descargado de su cuenta, háganoslo saber de inmediato. También puede descargar el paquete de CA con la nueva raíz aquí.
Entendemos que el problema ha causado enormes inconvenientes a muchos de nuestros clientes y nos disculpamos por ello.
Para evitar tales problemas en el futuro, actualizaremos la forma en que nuestro sistema recibe el paquete de CA de Sectigo para garantizar que solo el canal relevante se descargue de una cuenta de usuario, con el mismo nivel de rendimiento del sitio web.
En el futuro, también mantendremos a nuestros clientes informados de todas las noticias y cambios de la industria de CA y SSL, de modo que los riesgos se puedan mitigar antes de que ocurra un impacto.
Nos disculpamos por cualquier inconveniente que esto pueda ocasionarle a usted y a su empresa. Es por eso que nos gustaría ofrecerle hasta un 20% de descuento en todos los certificados SSL. Simplemente agregue cualquier certificado SSL a su carrito y use el código de promoción RootIssue2020 en la caja. El código de promoción es válido desde el 1 de junio hasta el 30 de junio de 2020.
Si aún tiene preguntas o problemas después de leer nuestra guía, no dude en contacta con nuestro equipo de soporte.
