Podcast: Descargar (Duración: 19:45 — 19.0MB)
El pasado 30 de Mayo de 2020 tuvimos una Incidencia de AddTrust, caducó el certificado raíz y hubo mucha gente con sus sistemas no actualizados.
Esto no es como aquel cambio del traspaso de la KSK que comentamos, sino algo que ha sucedido por software desactualizado de usuario.
Introducción al problema
Antes de nada comentar que el tema de los certificados se basa en confianza, ni más ni menos, es simplemente un tema de confianza.
A grandes rasgos un certificado funciona, es válido, cuando otro certificado así nos lo dice y así llegamos a los certificados raíz.
Los certificados raíz son aquellos que no tienen otro certificado superior que nos diga que ese certificado es válido, entonces, ¿eso como funciona?
Los certificados raíz son autofirmados, así que el emisor y el sujeto son el mismo
Los certificados raíz los tenemos en nuestros PCs, teléfonos, etc.. instalados.
Esos certificados están físicamente en nuestros PCs y han sido instalados en él, obviamente cuando digo PC también me refiero a teléfonos, etc…
El número de certificados raíz instalados es bastante alto y se van actualizando de vez en cuando, por ejemplo, en Ubuntu se actualizaron ayer, oh sorpresa.
Entonces cada vez que vemos un certificado vendrá firmado por uno o varios, es importante esto, de nuestros certificados raíz instalados y si no coincide la comprobación pues se considera que el certificado es invalido.
Para usar varios certificados raíz usaremos firma cruzada, que se utiliza para que los certificados tengan mayor respaldo, es decir, que se basen en varios certificados raíz.
La firma cruzada se utiliza porque cuanto más antigua sea una cadena emisora más posibilidades hay de que esté mejor distribuida, recordad que los certificados raíz se instalan en los equipos de los usuarios, así que el proceso es lento. De esta manera tenemos más probabilidad de que nuestro certificado sea aceptado de forma más amplia.
Con lo que os he contado hasta ahora hay dos cosas muy importantes que van a explicar la incidencia de los certificados iniciada el 30 de Mayo de 2020 a las 10:48:38 2020 GMT:
- Los certificados raíz instalados en nuestros equipos se actualizan de vez en cuando.
- Los certificados son validados por uno o varios certificados raíz (firma cruzada), esto se hace por si uno falla que no falle el certificado.
Caducidad del CA de AddTrust
El CA (certificado raíz) de AddTrust es el que caducó el 30 de Mayo y este era uno de los certificados utilizados para validar miles, o millones de certificados, entre otros muchos certificados wildcard.
El tema es que los certificados intermedios utilizado por Sectigo tenían firma cruzada con UserTrust y AddTrust:
- Sectigo ECC Domain Validation Secure Server CA
- Sectigo RSA Domain Validation Secure Server CA
Y claro UserTrust se introdujo en el año 2010 y poco a poco ha ido añadiéndose en los equipos, pero claro, aquellos que no se hayan actualizado desde entonces pues no lo tienen actualizado y falla.
El tema es que no estamos hablando sólo de navegadores, sino de clientes de correo, aplicaciones de escritorio y móvil, o incluso servicios de correo externos muy conocidos.
Pues todos esos servicios no actualizados fallaban.
Además aquellos que recibiendo los dos certificados no sabían que hacer con ellos y daban fallo igualmente, en fin, un desastre y un despropósito.
Y todo esto por no nombrar a las librerías empotradas de TLS.
Solución a un problema ajeno
Al final hay que poner soluciones a los problemas que son nuestros y a los que no, porque los usuarios al final lo que quieren es una solución a su problema y les da igual donde esté el problema y mucho menos les importa saber de quien es el problema, eso les da igual, quieren que su servicio funcione.
En nuestro caso, en Neodigit no ha sido muy doloroso porque está todo super automatizado y es bastante fácil hacer cambios en masa, pero no quiero ni pensar en aquella gente que tenga servicios de hosting tradicionales, con cpanel, plesk o cualquier otra cosa.
Sólo para que os hagáis una idea en nuestro caso hemos tenido que hacer cambio en más de 1000 servidores, eso sí, cambios automatizados.
Lo primero ha sido hacer un reissue de unos certificados wildcard usados para correo. Al hacer el reissue de dichos certificados se ha dejado de incluir AddSTrust y se ha quedado sólo UserTrust, con lo cual sin problema.
Ese certificado se ha instalado en todos los servidores que lo precisaban, principalmente servidores de hosting administrados por nosotros, en total más de 1000 y se ha hecho todo con una herramienta de automatización llamada chef.
Luego se ha forzado la ejecución de chef en todos los servidores afectados y se han aplicado los cambios.
Foto de cabecera Nejc Košir en Pexels