Cloudflare ha realizado ajustes en respuesta a la próxima expiración de la cadena de certificados cruzados de Let’s Encrypt con IdenTrust, prevista para el 30 de septiembre de 2024. La estrategia de emisión de certificados de Cloudflare ha cambiado para minimizar las interrupciones que los usuarios podrían experimentar debido a este evento.
Dina Kozlov, gerente de producto en Cloudflare, explicó que la cadena de certificados de Let’s Encrypt podría causar problemas de compatibilidad en dispositivos y sistemas antiguos, especialmente en dispositivos Android que funcionen con la versión 7.1.1 o anteriores. Para asegurar una transición suave para la mayoría de los usuarios, Cloudflare ha recomendado actualizar el almacén de confianza para incluir el certificado ISRG Root X1.
En su anuncio de julio de 2023, Let’s Encrypt habló sobre su estrategia inicial de certificados cruzados con la raíz DST Root CA X3 de IdenTrust. A medida que el propio ISRG Root X1 de Let’s Encrypt ganaba aceptación, la necesidad de cruzar firmas se redujo. Sin embargo, en 2021, se implementó una nueva firma cruzada para mantener la compatibilidad con dispositivos Android más antiguos. Esta medida provisional, que expirará el 30 de septiembre de 2024, ha permitido que estos dispositivos continúen accediendo a sitios web con certificados de Let’s Encrypt.
Los usuarios afectados por este cambio, que utilizan el Administrador de Certificados Avanzados de Cloudflare o SSL para SaaS, también pueden optar por utilizar los Servicios de Confianza de Google. Para obtener más información sobre cómo hacer esto, los lectores pueden consultar la documentación para desarrolladores de Cloudflare.
Kozlov citó datos de Let’s Encrypt que indican que más del 93.9% de los dispositivos Android ya confían en el ISRG Root X1, un número que se espera que crezca a lo largo de 2024. En una publicación de seguimiento en el blog, Kozlov señaló que, aunque Let’s Encrypt tiene la intención de dejar de emitir certificados de la cadena cruzada el 6 de junio de 2024, Cloudflare continuará apoyando esta cadena para todos los certificados de Let’s Encrypt hasta el 9 de septiembre de 2024. Cloudflare comenzará a transferir los certificados de Let’s Encrypt a una autoridad de certificación diferente 90 días o un ciclo de vida de certificado antes del cambio. Este cambio automático se aplicará a los clientes de SSL Universal y SSL para SaaS que hayan elegido la opción de “CA predeterminada”. Los clientes que hayan seleccionado específicamente a Let’s Encrypt como su CA serán notificados por correo electrónico, recibiendo una lista de sus certificados de Let’s Encrypt e información sobre los posibles impactos en dispositivos heredados. Después del 9 de septiembre de 2024, todos los certificados de Let’s Encrypt servidos por Cloudflare utilizarán la cadena ISRG Root X1.