Imagina que para entrar a todos lados, necesitas llaves. Para entrar a la puerta del trabajo, del salón de clases, hasta para entrar a la tiendita de la esquina necesitas una llave especial. Imagina que todas esas llaves son distintas, y que tú tienes una maquinita especial para hacerlas cada vez que quieres salir de casa.
Y luego imagina que esa máquina fantástica, que te deja conocer el mundo y entrar a lugares, se descompone hoy, 30 de septiembre.
La confianza lo es todo
Este 30 de septiembre caduca el certificado raíz IdenTrust DST Root CA X3, que es en nuestro ejemplo la maquina especial que crea llaves para muchos dispositivos en todo el mundo, y así que todos ellos puedan tener sus propias llaves para presentarse ante sitios y servidores web, solicitarles información, y acceder a internet.
La llave es en el mundo real como en el mundo digital una representación de confianza: en teoría quien tiene una llave es depositario de confianza de tenerla, y por lo tanto puede ingresar al lugar al que la llave se lo permite. Si tienes una llave para entrar a una casa, es porque supuestamente tienes la confianza de alguien para hacerlo. En la red, tu dispositivo tiene una llave que le otorga ante un servidor web la confianza necesaria para acceder a él.
El certificado raíz en cuestión pertenece a la organización sin fines de lucro Let's Encrypt, y su uso es tan generalizado que se encuentra en dispositivos Android, MacOS, Windows y muchos más.
La buena noticia es que la gran mayoría de dispositivos actualizan cada tanto su máquina especial generadora de llaves, así que en algún momento a lo largo de los años (IdenTrust DST Root CA X3 inició funciones por allá del año 2000) la sustituyeron y la remplazaron por una nueva. La mala noticia es que, como todos sabemos, hay dispositivos que han quedado relegados en actualizaciones de software, lo que quiere decir que hay miles allá afuera que siguen utilizando su vieja máquina especial de llaves de inicios de siglo.
A eso es a lo que la gente ha comenzado a llamar "el apagón de internet", y que suena catastrófico, pero no lo es.
Las víctimas de la desactualización pueden ser de lo más diversas: desde televisiones inteligentes, computadoras, consolas y lectores digitales. Esencialmente todo dispositivo que se conecta a internet está sujeto a quedar desactualizado. En el caso particular del certificado raíz que caduca este 30 de septiembre, un dispositivo que le usara seguiría ejecutando todas sus funciones con normalidad, salvo que no tendría conexión a internet.
Los dispositivos afectados
Let's Encrypt tiene un listado de las plataformas que solo usan el certificado raíz que caduca este 30 de septiembre. Adicionalmente, el investigador informático Scott Helme, uno de los primeros en colocar este tema en la conversación pública, retomó la lista y la completó con más detalles sobre cuáles serían las versiones afectadas y que podrían tener problemas para conectarse a internet.
El listado es el siguiente:
- Windows XP con Service Pack 3
- MacOS, con actualización menor a 10.12.1 (del 2016)
- iOS, con actualización menor a iOS 10 (iPhone 5 es el modelo más antiguo que puede actualizarse a iOS 10)
- Android, con actualización mayor a 2.36 y menor a 7.1.1
- Mozilla Firefox, superior a versión 2.0
- Ubuntu, con actualización menor a 16.04
- Debian, con versión menos a 8
- Java 8, con versión menor a 8u141
- Java 7, con actualización menor a 3.26
- Amazon FireOS
- Kindle, superior a versión 3.4.1
- Cyanogen, con versión mayor a 10
- Consolas PlayStation con firmware mayor a 5.00
- BlackBerry con versión superior a 10.3.3
Cada caso dependerá de las actualizaciones que hayan recibido los dispositivos luego de comenzar su vida útil, así que es imposible asegurar que todos los dispositivos con las plataformas enlistadas quedarán fuera de internet. Es posible que durante su vida útil los dispositivos con plataformas enlistadas hayan obtenido alguna actualización por la que recibieran un certificado raíz distinto al IdenTrust DST Root CA X3, tal como en el caso de la captura de pantalla de arriba, donde se aprecían multitud de certificados.
Además hay casos particulares: en Android por ejemplo los dispositivos con versión superior a 2.3.6 usan el IdenTrust DST Root CA X3, pero el certificado raíz puede actualizarse de forma manual y Let's Encrypt detalla el proceso.
Además, un dispositivo Android que se quede sin conexión podría técnicamente conectarse utilizando Firefox, dado que es el único navegador que utiliza su propio certificado raíz, no el del dispositivo.
Esta no es la primera vez que un certificado raíz expira. El AddTrust External CA Root hizo lo propio en mayo pasado y hubo algunas empresas que tuvieron dificultades con dispositivos saliendo de línea, Roku siendo una de ellas. En este caso el certificado raíz que caduca es más prominente, de manera que aunque el mundo no tendrá un "apagón de internet" es muy posible que, como dice el investigador Scott Helme, "algo en algún lugar se rompa".
Ver 12 comentarios