Última Udate 2020-12-21
Let's Encrypt ha retrasado el nuevo certificado de CA root durante 3 años:
Nos complace anunciar que hemos desarrollado una forma para que los dispositivos Android más antiguos puedan seguir visitando los sitios que utilizan los certificados de Let's Encrypt después de que nuestros certificados intermedios con firma cruzada expiren. No estamos ya no planeamos ningún cambio en enero que pueda causar problemas de compatibilidad problemas de compatibilidad para los suscriptores de Let's Encrypt.
Un tema recurrente en nuestros posts sobre nuestro próximo cambio de cadena ha sido nuestra preocupación por los efectos en los usuarios de sistemas operativos Android anteriores a la 7.1.1, cuyos dispositivos no confían en nuestro ISRG Root X1. Gracias a algunas ideas innovadoras de nuestra comunidad y a nuestro maravillosos socios de IdenTrust, ahora tenemos una solución que nos permite mantener una amplia compatibilidad. Para nuestra misión como organización sin ánimo de lucro es fundamental es ayudar a crear una web más segura y respetuosa con la privacidad para el mayor número personas como sea posible. Este trabajo nos acerca a ese objetivo.
IdenTrust ha acordado emitir una firma cruzada de 3 años para nuestra ISRG Root X1 desde su DST Root CA X3. La nueva firma cruzada será algo novedosa porque se extiende más allá de la expiración de la DST Root CA X3. Esta solución funciona porque Android no aplica intencionadamente la fechas de caducidad de los certificados utilizados como anclas de confianza. ISRG e IdenTrust se pusieron en contacto con nuestros auditores y programas Root para revisar este plan y asegurarse de que no había ningún problema de cumplimiento.
De este modo, podremos proporcionar a los suscriptores una cadena que contiene tanto ISRG Root X1 como DST Root CA X3, lo que garantiza una servicio ininterrumpido a todos los usuarios y evitando la posible rotura que nos ha que nos preocupaba.
No realizaremos el cambio de cadena previsto anteriormente en 11 de enero de 2021. En su lugar, cambiaremos para proporcionar esta nueva cadena por defecto a finales de enero o principios de febrero. La transición no debería tener ningún impacto en los suscriptores de Let's Encrypt, al igual que nuestro cambio a nuestro intermedio R3 a principios de este mes.
Ampliación de la compatibilidad de los dispositivos Android con los certificados Let's Encrypt
Instalación de nuevos certificados Let's Encrypt Root CA
Si tu dispositivo tiene Android 5 y anteriores o está rooteado puedes instalar tú mismo los certificados Root CA que faltan. Por lo que sé, hay que añadir los dos certificados siguientes:
En Android 5 y anteriores se pueden instalar simplemente como "certificado de usuario". Ten en cuenta que esto te obliga automáticamente a utilizar una pantalla de bloqueo con patrón/PIN o bloqueo por contraseña.
La forma más fácil es si el dispositivo está rooteado a través de Magisk, entonces usted puede instalar los dos certificados como certificados de usuario y luego moverlos a la system tienda utilizando el Módulo Magisk Mover Certificados .
Si Magisk y el módulo mencionado no están disponibles, aún puede instalar los certificados como certificados de usuario y moverlos manualmente al almacén del sistema.
El proceso de instalación es muy similar al mostrado en el tutorial de instalación del certificado mitmproxy Root-ca .
La siguiente sección muestra los valores hash de los certificados de Let's encrypt:
openssl x509 -inform PEM -subject_hash_old -in isrgrootx1.pem | head -1
6187b673
openssl x509 -inform PEM -subject_hash_old -in isrg-root-x2.pem | head -1
8794b4e3
Asegúrese también de que el archivo del certificado copiado tiene los permisos correctos:
chmod 644 /system/etc/security/cacerts/6187b673.0
chmod 644 /system/etc/security/cacerts/8794b4e3.0
Una vez que haya instalado los certificados, debería poder navegar (sin una advertencia de seguridad) a la siguiente ubicación: https://valid-isrgrootx1.letsencrypt.org/
