No dia 30 de setembro de 2021 às 14:01:15 de 2021 GMT – houve uma mudança radical – prevista e anunciada – no modo como os navegadores e dispositivos mais antigos confiam nos certificados SSL da emitidos pela Let’s Encrypt.
Trata-se do certificado denominado IdentTrust DST Root CA X3, emitido pela organização Let’s Encrypt. Isso se torna um problema, pois muitos clientes não conseguem atualizar de forma automática a cadeia de confiança e, se isso não acontecer, não há como um novo certificado substituir o que está expirando.
Let’s Encrypt é uma organização sem fins lucrativos que emite certificados que criptografam as conexões entre seus dispositivos e a Internet em geral, garantindo que ninguém possa interceptar e roubar seus dados em trânsito. Milhões de sites utilizam certificados digitais emitidos pela Let’s Encrypt.
O certificado raiz mais antigo (DST Root CA X3) – cadeia utilizada pela Let’s Encrypt – foi util para a empresa adquirir de forma instantânea no momento em que iniciou sua operação, a confiança necessária para atuar nesse segmento de mercado.
Dessa forma, foi possível que todos os dispositivos reconheceram seus certificados SSL. Caso a Let’s Encrypt não utilizasse uma cadeia de confiança antiga, seria necessário distribuir sua raiz para fornecedores de softwares e hardwares do mundo todo e ter um enorme trabalho para que empresas e usuários baixassem sua raiz.
Só assim seus certificados SSL teriam a interoperabilidade para estabelecer o handshake entre dispositivos, softwares e os servidores web e fechar a conexão criptografada e segura.
Veja que todos os certificados emitidos já levavam essa informação em seus campos principais.
Para a maioria dos dispositivos, hoje é um dia normal e essa mudança passou desapercebido pois os fornecedores de software e hardware há muito tempo atualizaram seus firmware e sistemas operacionais.
No entanto, aqueles outros dispositivos abandonados pelos seus fabricantes após o fim do seu suporte oficial e que, por isso, deixaram de receber atualizações, ficarão repentinamente sem acesso à internet isso inclui, por exemplo:
- Sistemas integrados projetados para não serem atualizados automaticamente.
- Smartphones com versões de software antigas.
- Versões do macOS anteriores ao macOS 10.12.1.
- Versões do MS Windows anteriores ao Windows XP Service Pack 3.
- PlayStations mais antigos que ainda não receberam atualizações de firmware.
- Em geral, todo software baseado em OpenSSL 1.0.2 ou anterior.
No caso do Android, Let’s Encrypt anunciou que lançou um sistema de assinatura cruzada que ‘compra’ mais três anos de validade para dispositivos equipados com Android 7.1.1 ou inferior, embora usuários que utilizem versões a partir do 5.0. instalar um navegador Firefox para evitar problemas durante a navegação (inclui certificado próprio, independente do sistema operacional).
A empresa já havia passado por algo semelhante em janeiro de 2021. Mas os especialistas afirmam que devido à sua grande utilização, a expiração do IdentTrust DST Root CA X3 causará muitos mais problemas do que o AddTrust, o certificado raiz que já expirou em maio passado e que já causou interrupções no sistema online disponibilidade de Red Hat, Roku ou Stripe.
Possíveis Problemas
Segundo o portal Certify The Web, na maioria dos casos, os sistemas mudarão automaticamente para a próxima cadeia confiável que puderem encontrar, mas em alguns casos, a expiração da raiz DST Root CA X3 pode fazer com que os certificados sejam considerados não confiáveis ou inválidos.
Para consertar isso, os servidores precisaram migrar para uma cadeia válida.
Em outros casos, o problema pode ser com o computador ou outro dispositivo cliente.
Isso significa que os serviços do Windows como o IIS não podem servir conteúdo para sistemas operacionais mais antigos que não confiam ISRG Root X1
. Se você precisar de suporte legado, deverá alterar a Autoridade de Certificação.
Para os usuários domésticos o problema afeta o acesso a sites em geral, um exemplo é o portal da nota fiscal eletrônica entre outros sites governamentais e sites de sistemas na nuvem. Erros como “sua conexão não é particular” ou NET::ERR_CERT_DATE_INVALID podem aparecer ao navegar em sites confiáveis.
Resolução do Problema
O portal Certify The Web orienta como as empresas podem encontrar uma solução para o problema principalmente relacionados a servidores Windows que executam IIS ou outros serviços baseados em Windows que usam o armazenamento confiável do Windows.
Aos usuários domésticos a solução o problema pode ser solucionado baixando o certificado atualizado no site da Let’s Encrypt. Após baixar o certificado basta executar o arquivo e seguir as instruções de instalação até o final. Em alguns casos é necessário indicar a pasta de Autoridades de Certificação Raiz Confiáveis onde vai ser instalado o certificado, como apresentado no vídeo abaixo.
Após a instalação já é possível navegar em sites que antes estavam com problemas.