Ya está disponible la solución ELS para los cambios en los certificados Let's Encrypt

Let's Encrypt es una forma práctica de obtener certificados e implementar el cifrado TLS en una amplia gama de aplicaciones. Teniendo en cuenta el número de certificados emitidos, es la mayor autoridad de certificación (CA) del mundo. También se utiliza ampliamente en escenarios de automatización debido a su cómodo mecanismo de renovación.

La reciente caducidad de un certificado raíz en la cadena de certificación por defecto de Let's Encrypt (30 de septiembre de 2021) causa graves problemas con versiones antiguas de OpenSSL. Sin embargo, los parches para las versiones de OpenSSL presentes en Centos 6/Oracle Linux 6/CloudLinux 6 ya están disponibles y deberían desplegarse lo antes posible para todos los sistemas afectados.

El certificado raíz que caducó en la cadena de certificación Let's Encrypt (DST Root CA X3) permanecerá en la cadena hasta 2024. Las versiones recientes de OpenSSL ignoran correctamente el certificado caducado y lo validan utilizando certificados alternativos presentes en la cadena, pero las versiones más antiguas de OpenSSL fallarán la verificación. Esto causa graves problemas, ya que las conexiones TLS fallarán cuando no deberían. En un desafortunado giro del destino, la propia utilidad "certbot", por defecto, no actualizará la cadena y renovará los certificados Let's Encrypt (lo que resolvería el problema).

Este problema afecta a múltiples distribuciones y versiones de Linux, pero las versiones cubiertas por nuestro soporte de ciclo de vida extendido ya tienen parches para OpenSSL que solucionan el problema. La forma de hacerlo es activando la bandera X509_V_FLAG_TRUSTED_FIRST en OpenSSL de forma predeterminada, lo que básicamente significa que la validación debe probar primero los certificados "buenos" cuando estén disponibles en lugar de fallar cuando encuentre un certificado "malo" (léase caducado). Corregir el problema de esta manera también evitará que se produzcan eventos similares en el futuro cuando caduquen otros certificados, ya sea en Let's Encrypt o en cualquier otra cadena de certificación.

Si desea solucionar el problema de una forma alternativa que no solucione el problema subyacente en OpenSSL, sino que simplemente evite el problema actual, puede ejecutar "certbot" de la siguiente forma:

certbot renew -dry-run -preferred-chain "ISRG Root X1"

O, en /etc/letsencrypt/renewal/, añada

cadena_preferida = ISRG Raíz X1

Esto permitirá a certbot obtener certificados ignorando la cadena de certificación que contiene el certificado raíz caducado. Pero, de nuevo, esto no resuelve el problema de que OpenSSL falle en una situación en la que debería proceder, por lo que futuros eventos en los que un certificado raíz o intermedio estén caducados (ya sea relacionado con Let's Encrypt o en cualquier otra cadena de certificación) seguirán causando problemas.