BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
🗞️

Let's Encrypt descontinúa las notificaciones de expiración de certificados

1
delegao
2

Si sois usuarios del servicio seguramente ya lo habréis recibido, pero la entidad certificadora Let's Encrypt, la cual ofrece certificados de validación de dominio gratuitos, dejará de prestar el servicio de notificación de expiración de certificados a partir del 4 de junio de 2025. Esta entidad fue una de las promotoras en extender la adopción masiva de HTTPS, de manera que todos los sitios pudieran cifrar sus comunicaciones sin incurrir en costes adicionales.

Como bien sabréis, los certificados de Let's Encrypt tienen una validez máxima de 90 días, en comparación con la duración habitual de un año del resto de certificados. Es por ello que instan al usuario a tener la renovación completamente automatizada, siendo estas notificaciones superfluas si está todo correctamente configurado.

Indican que esto es una medida para mejorar sus servicios y trasladar los recursos que cuesta mantener este servicio a otras áreas más importantes.

Si bien no es algo estrictamente imprescindible, en mi caso me venía bien para saber si algo estaba fallando. Nada que no se pueda solucionar con servicios de monitorización externos como Red Sift Certificates Lite (enlazado en el artículo) o bien HetrixTools, entre otros.

Fuente: letsencrypt.org/2025/01/22/ending-expiration-emails

vukits
6

me parece magnifico.

yo tengo la renovación con Docker+ACME, y va de fábula.

🗨️ 2
CMOr
1

Yo los que tengo los tengo en Plesk, y también es todo automático.

lhacc
1

Yo ya he pasado toda la producción a Caddy, que te saca los certificados él solito. Luego un proxy reverso con apache para los clientes carcas que aún quieran htaccess, y a vivir la vida

pepejil

Si bien no es algo estrictamente imprescindible, en mi caso me venía bien para saber si algo estaba fallando. Nada que no se pueda solucionar con servicios de monitorización externos como Red Sift Certificates Lite (enlazado en el artículo) o bien HetrixTools, entre otros.

O montarte tu propio script que revise el list de certbot y te avise si ocurre algún problema.

Hay muchas formas de monitorizar la caducidad de los certificados, sea por medios propios o externos.

Amenhotep
1

A mi lo que no me gusta es que Let's Encrypt tenga el monopolio de facto de los certificados de sitio gratuitos. Algún día vendrán los lloros y lamentos.

Todo por la maniobra que realizaron Google y Firefox contra StartSSL en cuanto la compraron los chinos. No se podía permitir que EEUU dejara de tener ese control.

🗨️ 29
delegao
2

Existen otras CA (Buypass, ZeroSSL) aunque sí que es verdad que Let's Encrypt es un monopolio de facto por ser el más extendido e implementado.

pepejil

Let's Encrypt es de código abierto. Si nadie más ha querido realizar un fork para dar redundancia al asunto (supongo que de ahí deriva tu queja), no es problema ni mucho menos de la organización.

De todas maneras, los certificados duran tres meses y las renovaciones nunca se realizan próximos a su fecha de caducidad, así que si el circuito está caído un día entero no pasaría nada y si fuese por problemas por las entidades de certificados, en máximo tres meses estaría el problema resuelto.

🗨️ 21
CMOr

De poco iba a servir un fork si desaparecen como entidad certificadora.

🗨️ 20
pepejil

Si ellos han podido hacerlo, cualquiera también. Ya otra historia es la inversión que se quiera hacer.

Lo que quiero decir es que no tienen el monopolio por gusto.

🗨️ 19
CMOr
CMOr
1
Amenhotep
Amenhotep
2
🗨️ 17
pepejil
pepejil
🗨️ 4
Amenhotep
Amenhotep
🗨️ 3
pepejil
pepejil
🗨️ 2
Amenhotep
Amenhotep
🗨️ 1
pepejil
pepejil
PezDeRedes
PezDeRedes
🗨️ 11
Amenhotep
Amenhotep
1
🗨️ 2
rbetancor
rbetancor
2
🗨️ 1
Bramante
Bramante
2
🗨️ 5
CMOr
CMOr
🗨️ 1
PezDeRedes
PezDeRedes
1
🗨️ 2
Bramante
Bramante
1
🗨️ 1
lhacc
lhacc
1
🗨️ 1
skgsergio

Demasiado simplista reducirlo a "contra StartSSL en cuanto la compraron los chinos".

Había múltiples incidencias con la CA de WoSign, similares a las cuales otras CA europeas y estadounidenses han sido retiradas.

De memoria:

  • Estaban usando SHA-1 y no planeaban cambiar y se acercaba la fecha de fin de aceptación en los navegadores.
  • Había una movida que no recuerdo bien con las fechas de emisión vs cuando realmente se habían emitido.
  • Se emitieron certificados de forma inválida cuando no se cumplían los requisitos de identidad.
  • Y el punto que puedo ver más polémico es lo de que según los términos de aceptación de Mozilla cuando una CA es comprada esto tiene que ser anunciado con antelación. Sin embargo yo en realidad entiendo la finalidad y más cuando dijeron que iban a ser entidades independientes pero luego se vio que no.

No sé si seguirá público pero había un documento con toda esa información si te interesa.

No digo que no exista un interés en quitarselos de encima, eso no lo puedo saber a ciencia cierta, sin embargo motivos técnicos existían y muchos son similares a los que han llevado a CAs occidentales ha ser eliminadas.

🗨️ 5
Amenhotep

Es que las reglas la imponían Google y Firefox que son los que controlaban el mercado de navegadores.

Motivos técnicos para invalidar Google Chrome por su falta de respeto a la privacidad se pueden encontrar de sobra pero como es Google pues no pasa nada.

🗨️ 4
skgsergio

Esas reglas si alguna vez te las has leído son muy necesarias ya que de lo contrario cualquier CA arbitraria podría hacer certificados para cualquier dominio arbitrario y reduciendo así la privacidad y la seguridad.

Se busca que estén auditados, que tengan transparencia ahora con el log de transparencia, que cumplan estándares de seguridad, … y en cuanto se detectan múltiples violaciones leves o alguna grave se les elimina.

De ser un Free For All no serviría de nada HTTPS/TLS.

Respecto a lo de Google Chrome: nadie te obliga a utilizarlo, respecto a las CAs es inviable que no exista un control y sea el usuario el que decida cuáles si y cuáles no.

🗨️ 3
Amenhotep
Amenhotep
🗨️ 2
skgsergio
skgsergio
🗨️ 1
pjpmosteiro
1

No problemo, ya se me encarga el OPNsense de renovar automáticamente así que…

superllo
2

Lo que le faltaba a Josh para que vuelva a caer la web por no renovar el certificado otra vez.

🗨️ 1
Idinajui

😂😅