El pasado 30 de Mayo de 2020 tuvimos una Incidencia de AddTrust, caducó el certificado raíz y hubo mucha gente con sus sistemas no actualizados.

Esto no es como aquel cambio del traspaso de la KSK que comentamos, sino algo que ha sucedido por software desactualizado de usuario.

Introducción al problema

Antes de nada comentar que el tema de los certificados se basa en confianza, ni más ni menos, es simplemente un tema de confianza.

A grandes rasgos un certificado funciona, es válido, cuando otro certificado así nos lo dice y así llegamos a los certificados raíz.

Los certificados raíz son aquellos que no tienen otro certificado superior que nos diga que ese certificado es válido, entonces, ¿eso como funciona?

Los certificados raíz son autofirmados, así que el emisor y el sujeto son el mismo

Los certificados raíz los tenemos en nuestros PCs, teléfonos, etc.. instalados.

Esos certificados están físicamente en nuestros PCs y han sido instalados en él, obviamente cuando digo PC también me refiero a teléfonos, etc…

Certificados raiz en el directorio /usr/share/ca-certificates/mozilla de una Ubuntu

El número de certificados raíz instalados es bastante alto y se van actualizando de vez en cuando, por ejemplo, en Ubuntu se actualizaron ayer, oh sorpresa.

Entonces cada vez que vemos un certificado vendrá firmado por uno o varios, es importante esto, de nuestros certificados raíz instalados y si no coincide la comprobación pues se considera que el certificado es invalido.

Para usar varios certificados raíz usaremos firma cruzada, que se utiliza para que los certificados tengan mayor respaldo, es decir, que se basen en varios certificados raíz.

La firma cruzada se utiliza porque cuanto más antigua sea una cadena emisora más posibilidades hay de que esté mejor distribuida, recordad que los certificados raíz se instalan en los equipos de los usuarios, así que el proceso es lento. De esta manera tenemos más probabilidad de que nuestro certificado sea aceptado de forma más amplia.

Con lo que os he contado hasta ahora hay dos cosas muy importantes que van a explicar la incidencia de los certificados iniciada el 30 de Mayo de 2020 a las 10:48:38 2020 GMT:

* Los certificados raíz instalados en nuestros equipos se actualizan de vez en cuando.* Los certificados son validados por uno o varios certificados raíz (firma cruzada), esto se hace por si uno falla que no falle el certificado.

Caducidad del CA de AddTrust

El CA (certificado raíz) de AddTrust es el que caducó el 30 de Mayo y este era uno de los certificados utilizados para validar miles, o millones de certificados, entre otros muchos certificados wildcard.

El tema es que los certificados intermedios utilizado por Sectigo tenían firma cruzada con UserTrust y AddTrust:

* Sectigo ECC Domain Validation Secure Server CA* Sectigo RSA Domain Validation Secure Server CA

Y claro UserTrust se introdujo en el año 2010 y poco a poco ha ido añadiéndose en los equipos, pero claro, aquellos que no se hayan actualizado desde entonces pues no lo tienen actualizado y falla.

El tema es que no estamos hablando sólo de navegadores, sino de clientes de correo, aplicaciones de escritorio y móvil, o incluso servicios de correo externos muy conocidos.