¿Ya no soportará Cloudflare Let's Encrypt?

“Me preocupa el correo electrónico que recibí de Cloudflare, ya que uso Cloudflare en mi instalación, ¿podría alguien ayudarme a entender qué es esto? ¿Estaré fuera de línea?”

Hola,

Nos ponemos en contacto para informarle sobre un próximo cambio que afectará la compatibilidad de dispositivos de los certificados Let’s Encrypt emitidos después del 15 de mayo de 2024. Nos ponemos en contacto con usted porque hemos identificado que actualmente está utilizando certificados Let’s Encrypt a través de Universal SSL, Advanced Certificate Manager, Custom Certificates o SSL for SaaS. Le recomendamos que se familiarice con el cambio de Let’s Encrypt y realice los ajustes necesarios con antelación.

Resumen del cambio

Let’s Encrypt emite certificados a través de dos cadenas: la cadena ISRG Root X1 y la cadena ISRG Root X1 con firma cruzada por DST Root CA X3 de IdenTrust. La cadena con firma cruzada ha permitido que los certificados Let’s Encrypt sean ampliamente confiables, mientras que la cadena pura ha desarrollado compatibilidad con varios dispositivos en los últimos 3 años, aumentando el número de dispositivos Android que confían en ISRG Root X1 del 66% al 93,9%.

Let’s Encrypt anunció que la cadena con firma cruzada expirará el 30 de septiembre de 2024. Como resultado, Cloudflare dejará de emitir certificados de la cadena CA con firma cruzada el 15 de mayo de 2024.

Impacto

La expiración de la cadena con firma cruzada afectará principalmente a dispositivos más antiguos (por ejemplo, Android 7.0 y anteriores) y sistemas que dependen únicamente de la cadena con firma cruzada y carecen de la cadena ISRG Root X1 en su almacén de confianza. Este cambio podría provocar fallos en la validación de certificados en estos dispositivos, lo que podría generar mensajes de advertencia o problemas de acceso para los usuarios que visiten su sitio web.

Impacto en los certificados emitidos a través de Universal SSL, Advanced Certificate Manager o SSL for SaaS:

Para prepararse para la expiración de la CA, después del 15 de mayo, Cloudflare ya no emitirá certificados de la cadena con firma cruzada. Los certificados emitidos antes del 15 de mayo continuarán siendo servidos a los clientes con la cadena con firma cruzada. Los certificados emitidos el 15 de mayo o después utilizarán la cadena ISRG Root X1. Además, este cambio solo afecta a los certificados RSA. No afecta a los certificados ECDSA emitidos a través de Let’s Encrypt. Los certificados ECDSA mantendrán el mismo nivel de compatibilidad que tienen hoy.

Impacto en los certificados cargados a través de Custom Certificates:

Los certificados cargados en Cloudflare se empaquetan con la cadena de certificados que Cloudflare considera más compatible y eficiente. Después del 15 de mayo de 2024, todos los certificados Let’s Encrypt cargados en Cloudflare se empaquetarán con la cadena ISRG Root X1, en lugar de la cadena con firma cruzada. Los certificados cargados antes del 15 de mayo continuarán utilizando la cadena con firma cruzada hasta que ese certificado se renueve.

Fechas importantes

15 de mayo de 2024: Cloudflare dejará de emitir certificados de la cadena CA con firma cruzada. Además, los certificados personalizados de Let’s Encrypt cargados después de esta fecha se empaquetarán con la cadena ISRG X1 en lugar de la cadena con firma cruzada.

30 de septiembre de 2024: La cadena CA con firma cruzada expirará.

Recomendaciones:

Para reducir el impacto de este cambio, le recomendamos que tome las siguientes medidas:

1. Cambiar de CA: Si sus clientes realizan solicitudes a su aplicación desde dispositivos heredados y espera que este cambio los afecte, le recomendamos que utilice una autoridad de certificación diferente o que cargue un certificado de la CA de su elección.

2. Monitoreo: Una vez que se implemente el cambio, le recomendamos que supervise sus canales de soporte para cualquier consulta relacionada con advertencias de certificados o problemas de acceso.

3. Actualizar el almacén de confianza: Si controla los clientes que se conectan a su aplicación, le recomendamos que actualice el almacén de confianza para incluir la cadena ISRG Root X1 para evitar impactos.

“Este fue el correo electrónico que recibí de ellos, pero con algunos problemas, soy un lego, intenté entender, investigué, pero no pude entender la gravedad de todo, si alguien quiere ayudarme, estaré agradecido.”

Todo eso es solo del lado de CF, no creo que eso afecte a Discourse, aunque podría estar equivocado.

Tengo miedo porque discourse/docker usa let’s encrypt, pero todavía no entiendo el mensaje.

Por ahora, creo que es seguro dejarlo así, considerando que todavía tenemos hasta el 30 de septiembre antes de que expire la cadena.

Continuaré observando esto, porque en mi opinión Cloudflare es demasiado bueno como para dejar de usarlo.

Android 7 se lanzó en 2016 y la cuota de mercado actual es del 1,42 %, por lo que probablemente no habrá un impacto medible para tus usuarios.

Casi con toda seguridad no necesitas preocuparte por esto: CloudFlare no está deteniendo el uso de Let’s Encrypt.

Este es el único impacto de este cambio:

Esto es lo que Cloudflare tiene que decir al respecto:

https://community.cloudflare.com/t/let-s-encrypt-certificate-change/631346/3

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.