Cientos de miles de webs verán revocados sus certificados de seguridad SSL/TLS a partir de mañana

Let´s Encrypt, la autoridad que emite los certificados de seguridad SSL/TLS que emplean millones de páginas web por el mundo, comenzará a revocar mañana una parte de ellos debido a un “bug” o fallo en su implementación. La medida afecta solo a los certificados emitidos en los últimos 90 días usando el método de validación TLS-ALPN-01, que constituyen algo menos de 1% de los 221 millones de sitios que emplean los certificados de esta entidad. Una cifra que podría moverse entre varios cientos de miles de webs y los dos millones, dependiendo de la respuesta de los administradores de las webs afectadas que están siendo advertidos por correo electrónico.

Let´s Encrypt pertenece al Internet Security Research Group (ISRG), una organización sin ánimo de lucro estadounidense que promueve la seguridad en Internet y facilita la implementación de certificados de seguridad gratuitos emitidos por Let´s Encrypt.

El pasado día 25 la organización tuvo conocimiento de dos irregularidades en la implementación del método de validación TLS usando ALPN. Como consecuencia, Let´s Encrypt ha tenido que realizar cambios en el método de validación TLS- ALPN. “Todos los certificados activos que se emitieron y validaron con TLS-ALPN-01 antes de las 00:48 del 26 de enero de 2022, cuando se implementó nuestra corrección, se consideran mal emitidos” ha indicado un representante de Let´s Encrypt al medio Bleeping Computer.

Un certificado SSL (Secure Socket Layer, también conocido como TLS o Transport Layer Security) es un protocolo de seguridad que permite autenticar la identidad de un sitio web y habilita una conexión cifrada entre el servidor web y el navegador. El usuario puede identificarlo por el icono con el candado cerrado que aparece junto a la URL de su navegador al visitar una web. Su perdida significa una desprotección de la navegación, una pérdida de confianza por parte del usuario que será advertido de la circunstancia por el navegador y también perjudicará al posicionamiento de las webs afectadas en los resultados de búsqueda de Google al ser uno de los parámetros que tienen en cuenta los algoritmos.

“Estimamos que (menos del) 1 % de los certificados activos se ven afectados. Los suscriptores afectados por las revocaciones recibirán notificaciones por correo electrónico si su cuenta de ACME contiene una dirección de correo electrónico válida” ha señalado Let´s Encrypt. En el correo electrónico enviado a los administradores de webs, se les urge a forzar la renovación del certificado para solventar el problema.