Los Usuarios de Windows XP cada vez lo tienen más difícil

Iniciado por B€T€B€, 28 Septiembre 2021, 23:08 PM

0 Miembros y 2 Visitantes están viendo este tema.

B€T€B€


Los usuarios de Windows XP cada vez lo tienen más difícil para seguir siendo fieles a su S.O.

https://www.xatakawindows.com/windows/usas-windows-xp-a-partir-30-septiembre-no-podras-navegar-red-culpa-certificado-ssl

Opino que si el problema es tal como le describen, la cuota de mercado de XP pegará un buen bajón...
Mucha gente desistirá de intentar solucionar el problema.
¿Cómo lo véis vosotros?


Serapis

De momento no creo que afecte.
Ya veremos con los siguientes certificados que caducan (en noviembre caduca otro y 3 más en diciembre)

Mi certificado no tiene activa tantas opciones, y puedo navegar tanquilamente. y las que tiene tampoco resultan imprescindibles. Los X2 y X1 caducaron en 2008. Para las empresas la cosa si puede llegar a ser diferente, porque muchas aplicaciones profesionales sí son dependientes.


Randomize


el-brujo

En efecto, como bien dice Randomize, Windows XP con SP3 no está afectado.

Y me imagino que la mayoría que aún usa Windows XP, al menos tiene la "decencia" de usar el Service Pack 3..

Es decir usar un sistema operativo obsoleto, vulnerable y viejuno, pero en su última versión

FJDA

Según esta web entre otras se verá afectado estos sistemas de la lista pero yo tengo un móvil con Android 6.0, lo he probado y va perfectamente. En fin. :-\


Cita de: https://www.elfinanciero.com.mx/tech/2021/09/29/apagon-de-internet-del-30-de-septiembre-que-es-y-por-que-ocurrira/
Dispositivos que se verán afectados
El apagón no afectará a todas las personas del mundo ni a todos los dispositivos. Solo a estos:

Blackberry menor a 10.3.3
macOS anterior a 2016
iOS menor a versión 10
Windows XP (con Service Pack 3)
PlayStation 3 o 4 con firmware menos a 5.00
Android 7.1.1 y anterior (de los cuales ya se han caducado algunos certificados)
Nintendo 3DS
Kindle menor a 3.4.1
Amazon FireOS con navegador Skill

B€T€B€

Cita de: FJDA en  2 Octubre 2021, 21:50 PM
Según esta web entre otras se verá afectado estos sistemas de la lista pero yo tengo un móvil con Android 6.0, lo he probado y va perfectamente. En fin. :-\




A mi me ocurre lo mismo con Android 4.4.2

FJDA

#6
Cita de: B€T€B€ en  2 Octubre 2021, 21:52 PM

A mi me ocurre lo mismo con Android 4.4.2
Pues algo hay en esta información que no cuadra. Debe de haber alguna forma de comprobar la caducidad de los certificados en Android y así salimos de dudas.




Bien encontré la respuesta a este maldito misterio.  :xD
Vale entré en Ajustes/Seguridad/Administración de certificados/Credenciales de confianza de mi Android.

Ahí comprobé los certificados la mayoría están caducados, pero el que nos interesa es IdenTrust DST Root CA X3 que es el que se supone que caduca el 30/9/2021 como hemos podido leer en muchos medios y nos afectaría con respecto a nuestra conexión con servidores y Webs.

Pues bien mi Android 6.0 tiene IdenTrust Commercial Root CA 1  el cual según la información de éste certificado en mi Android caduca el 16/01/34.

Podéis consultarlo y descargarlos aquí.

https://www.identrust.com/support/downloads


Cita de: https://www.identrust.com/support/downloads
Tenga en cuenta que la raíz " IdenTrust DST Root CA X3 " que expira el 30/9/2021 ha sido reemplazada por la raíz autofirmada " IdenTrust Commercial Root CA 1 ", que también es de confianza para los principales navegadores y almacenes raíz desde 1 / 16/2014. Puede descargar IdenTrust Commercial Root CA 1 en este enlace:  Descarga del certificado raíz .

Si tiene dispositivos que no actualizan dinámicamente la cadena de confianza raíz, deben actualizarse manualmente con el " IdenTrust Commercial Root CA 1 " autofirmado que se puede descargar en este enlace:  Descarga del certificado raíz .


el-brujo

Si, se puede actualizar manualmente el certificado raíz.


Solución para los certificados digitales en equipos antiguos:

- Descargar DER https://letsencrypt.org/certs/isrgrootx1.der
- Grabarlo con extensión .CRT
- Instalarlo en el equipo afectado

FJDA

#8
Cita de: el-brujo en  5 Octubre 2021, 12:21 PM
Si, se puede actualizar manualmente el certificado raíz.


Solución para los certificados digitales en equipos antiguos:

- Descargar DER https://letsencrypt.org/certs/isrgrootx1.der
- Grabarlo con extensión .CRT
- Instalarlo en el equipo afectado

Perdón por la ignorancia pero no sería mejor usar el sustituto natural de DST Root CA x3 que sería IdenTrust Commercial Root CA 1 que usar ISRG Root x1 de Let's Encrypt.

Dejo algunas dudas:
¿Confiarán los equipos en éste último? Creo que la diferencia es que el primero caducaría en 2034 mientras que el segundo hasta 2035.

¿En qué casos se debería usar uno u otro?

¿Para  Windows el formato no sería .CER?
Cita de: https://www.sede.fnmt.gob.es/preguntas-frecuentes/problemas-y-dudas/-/asset_publisher/fVZppcBHj0oa/content/1553-diferencias-entre-pfx-p12-cer-y-crt-
Básicamente:

.pfx: es la copia de seguridad con clave privada de un certificado (exportado desde Internet Explorer).
.p12: es la copia de seguridad con clave privada de un certificado (exportado desde Firefox).
.cer: es un formato de exportación de clave pública desde Internet Explorer, puede ser en formato DER o formato PEM (Base64)
.crt: es un formato de exportación de clave pública desde Mozilla firefox. Es en formato PEM (Base 64).

(.crt será para Linux supongo)

¿Solo es necesario uno u otro, o hay que tener los dos simultáneamente?

He comprobado mis certificados en Windows 7 y para mi sorpresa tengo los dos  IdenTrust Commercial Root CA 1 y  ISRG Root x1





En Android solo tengo IdenTrust Commercial Root CA 1



Respondiéndome a mí mismo  con la pregunta de cual sería la diferencia entre ambos al ver que tengo los dos en mi Windows 7 los he mirado y éstas serían las diferencias:



MinusFour

Cita de: FJDA en  5 Octubre 2021, 13:54 PM
Perdón por la ignorancia pero no sería mejor usar el sustituto natural de DST Root CA x3 que sería IdenTrust Commercial Root CA 1 que usar ISRG Root x1 de Let's Encrypt.

Como yo tengo entendido, vas a querer tener los dos certificados (los self-signed, no los cross-signed). El de ISRG X1 es para sitios que han obtenido sus certificados de Lets Encrypt. El otro para sitios que hayan usado IdenTrust.

Tanto Lets Encrypt como IdenTrust usaron el DST X3 de IdenTrust por razones de compatibilidad. Lets Encrypt no tiene certificados cruzados validos con IdenTrust de momento. Tenía en su momento certificados cruzados (R3, R4) pero estos mismos han expirado el 29 de septiembre. Ahora, ISRG X1 tiene un certificado cruzado de momento con DST X3. El cual si sigues la cadena, no es valido porque DST X3 también ha expirado el 30 de septiembre. Sin embargo, esta cadena sigue siendo valida para (algunos?) dispositivos android porque estos supuestamente no revisan la fecha de expiración de certificados de CA Raiz. En teoría esta gente tiene otros 3 años, asumiendo que los clientes puedan validar con la ruta alterna.

El IdenTrust Comercial CA 1 no ha firmado ningún CA intermediario con LE, al menos yo no he visto que hayan hecho eso, así que ese certificado no les servirá para validar la cadena de sitios que obtuvieron sus certificados de Lets Encrypt. Y como yo tengo entendido, Lets Encrypt tampoco ha hecho tal cosa con IdenTrust Comercial CA 1. Pero igual y alguien sabe si lo hayan hecho.