Let’s Encrypt es una Autoridad Certificadora que emite certificados digitales de manera gratuita, automatizada y abierta a los servicios que necesitan utilizar conexiones seguras mediante el protocolo HTTPS el cual trabaja con TLS, que es una tecnología estandarizada que permite cifrar el tráfico de datos.

La emisión de certificados digitales de Let's Encrypt, se basa en una estructura jerárquica (Ver Imagen 1. Estructura Jerárquica) y es necesario conocerla para comprender de manera general, el proceso de determinación de confianza de un certificado digital que llevan a cabo los dispositivos que se conectan a Internet. A continuación, se explicará cada nivel contenido en la estructura de Let’s Encrypt:

Imagen 1. Estructura jerárquica

Root. Certificado que es autofirmado y controlado por una autoridad certificadora, permite firmar certificados intermediarios, este tipo de certificado se encuentra en resguardo y únicamente es utilizado cuando se firma un certificado intermediario.

Intermediate. Certificado que es firmado por un certificado root o algún otro certificado intermediario, tiene la capacidad de firmar otros certificados intermediarios y/o certificados leaf.

Leaf. Certificados utilizados por los sitios web, también conocidos como certificados de entidad final.

Al realizar una consulta desde un navegador a un sitio web, se hace uso de la cadena de certificados, la cual es una lista de certificados intermediarios que apoyan al navegador a determinar si se puede confiar en un certificado leaf ya que lo verifica con el certificado root, el cual se encuentra integrado en la certificate store del sistema operativo del dispositivo y de algunos navegadores (en su defecto esto es consultado con el sistema operativo).

El 30 de septiembre de 2021, el certificado DST Root CA X3 de Let’s Encrypt va a expirar, lo que implica que todos los dispositivos que no cuenten con un certificado root vigente de Let’s Encrypt en su Certificate Store, empezarán a mostrar advertencias al ingresar a sitios con certificados emitidos por el certificado DST Root CA X3 ya que no se podrá determinar su confianza. Esta es una transición esperada, por lo que se ha implementado el certificado de confianza raíz ISRG Root X1, el cual se incluye en la Certificate Store de las versiones más recientes de los sistemas operativos.

Los certificados raíz DST Root CA X3 y ISRG Root X1 se encuentran firmados de forma cruzada, por lo que el certificado es representado por dos certificados, uno autofirmado y otro firmado por DST Root CA X3 con el objetivo de mantener la compatibilidad (Ver Imagen 2. Firma Cruzada).

Imagen 2. Firma cruzada

La siguiente lista comprende las versiones de los sistemas operativos que no consideran el certificado ISRG Root X1 en su Certificate Store, por lo que se recomienda actualizar los sistemas operativos de los dispositivos utilizados a las versiones más actuales en la medida de lo posible:

• OpenSSL <= 1.0.2
• Windows < XP SP3
• macOS < 10.12.1
• iOS < 10 (iPhone 5 es el modelo más bajo que puede llegar a iOS 10)
• Android < 7.1.1 (pero versiones >= 2.3.6 funcionarán si se proporciona el certificado cruzado ISRG Root X1)
• Mozilla Firefox < 50
• Ubuntu < 16.04
• Debian < 8
• Java 8 < 8u141
• Java 7 < 7u151
• NSS < 3,26
• Amazon FireOS (navegador Silk)

Referencias

https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
https://letsencrypt.org/certificates/
https://letsencrypt.org/docs/certificate-compatibility/
https://scotthelme.co.uk/lets-encrypt-old-root-expiration/
https://letsencrypt.org/docs/certificate-compatibility/
https://www.ssl.com/faqs/what-is-a-certificate-authority/
https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/