Tener dispositivos conectados siempre a Internet requiere que éstos sean seguros. Por ello, se utiliza cifrado en las conexiones para evitar que atacantes puedan espiar el tráfico e incluso tomar el control de estos dispositivos gracias al uso de certificados. Sin embargo, hay muchos dispositivos abandonados por los fabricantes que van a quedarse sin Internet en apenas una semana.
Empresas como Let’s Encrypt se dedican a ofrecer certificados SSL que usan por ejemplo las páginas web HTTPS, y que hay que renovar cada cierto tiempo; normalmente cada varios años. Para que el dispositivo confíe en esos certificados, es necesario que tenga preinstalado un certificado raíz. La duración de estos certificados es mucho mayor, pudiendo llegar a ser de 20 o 25 años.
El 30 de septiembre caduca un certificado raíz
De acuerdo a Alberto García de el portal adslzone los primeros certificados raíz empezaron a expedirse hace ya 20 años, por lo que los primeros estarán próximos a caducar. Uno de los problemas más graves es que esos certificados antiguos se han estado usando hasta hace no mucho tiempo, por lo que por ello hay dispositivos relativamente recientes que se pueden quedar sin usar Internet si el fabricante no los actualiza.
A eso se le suma lo que va a ocurrir con el certificado CA de DST Root CA X3 de Let’s Encrypt, que caduca el próximo 30 de septiembre de 2021 a las 16:01:15 hora española. Todos los dispositivos que no actualicen el certificado para esa fecha, no podrán hacerlo a través de Internet en el caso de que tenga el mecanismo necesario para hacerlo. Por ello, será obligatorio descargar el correspondiente firmware a mano e instalarlo mediante el puerto USB que tenga el dispositivo.
Esto ya ocurrió hace dos años, donde el 30 de mayo de 2019 a las 11:48 hora española, muchos dispositivos de Roku dejaron de funcionar, no pudiendo acceder a Internet ni a los canales de la compañía. Otros servicios online como SugarSync, RoboForm o Stripe también sufrieron el mismo fallo. En este caso, Roku había lanzado una versión de software nueva con un certificado nuevo, pero muchos dispositivos no lo habían instalado.
El problema es que otros dispositivos no tienen mecanismos de actualización para solventar este fallo, de manera que van a quedar aislados de Internet para siempre en un caso flagrante de obsolescencia programada. Por ello, aunque haya Certificate Authorities (CA) como Let’s Encrypt que vayan actualizando los certificados, hay fabricantes que utilizan los antiguos.
Windows XP se quedará sin Internet
Esto no va a ser un problema para ordenadores o móviles recientes, ya que los certificados que usan son relativamente modernos, y se actualizan constantemente para evitar este problema. Actualmente, en Android, todas las versiones posteriores a 2.3.6, pueden seguir accediendo a Internet hasta septiembre de 2024.
Sin embargo, sí que hay otros dispositivos que van a verse afectados. Por ejemplo, todo ordenador que utilice Windows XP con Service Pack 3, va a dejar de poder acceder a Internet a partir de la semana que viene. Lo mismo ocurre con versiones de macOS anteriores a 2016, con clientes que usen OpenSSL 1.0.2 o anterior, o consolas PlayStation que no se han actualizado a firmware más reciente. Más allá de eso, no se sabe con certeza cuántos dispositivos van a quedarse sin acceder a Internet, por lo que tendremos que esperar al día 30 a ver qué ocurre.
??