¿Por qué todas las páginas web me aparecen como no seguras?

por | Oct 13, 2021 | Diseño web | 0 Comentarios

Tal vez te hayas dado cuenta que desde hace unos días, concretamente desde el medio día del jueves 30 de septiembre, todas las páginas web que visitas con tu navegador aparecen con un alarmante mensaje que te dice que LA CONEXIÓN NO ES PRIVADA, y que la página web no es segura.  Vemos en navegadores como Google Chrome que da este error: ERR_CERT_AUTHORITY_INVALID.

¿Por qué todas las páginas web me aparecen como no seguras?

Esto antes aparecía en algunas páginas que no tenían bien configurado el certificado SSL, ese que hace que las páginas web aparezcan con el https://. Pero ahora aparece en todas las páginas web que visitas con tus navegadores ¿no?

No te preocupes, no es cosa de tu antivirus ni de tu nevegador. El problema es que tienes un ordenador o dispositivo móvil antiguo, y te voy a explicar exactamente por qué sucede eso y algunas formas de que no aparezca más ese mensaje.

El origen del error de privacidad

En la gran mayoría de las páginas web que hacemos en el mundo, a la hora de poner el https para que sea segura y Google la indexe en sus resultados de búsqueda utilizamos un certificado SSL que nos provee la empresa de alojamiento web, y que actualmente es el certificado gratuito de Let’s Encrypt, que es es una autoridad de certificación que se puso en marcha el 12 de abril de 2016 y que proporciona certificados de seguridad SSL gratuitos para el cifrado de sitios web.

Esto se hace en el 90% de los sitios web que desarrollamos, con excepción de algunas tiendas online, que por razones operativas necesitan un certificado de seguridad más amplio y sin los problemas de compatibilidad que el certificado gratuito presenta con algunas pasarelas de pago.

El caso es que el 30 de septiembre de 2021, el certificado global de Let’s Encrypt, llamado R3, es decir el que da servido a absolutamente todas las páginas web que utilizan su encriptado, ha caducado.

Este se ha traducido en que automáticamente todos los sitios web con seguridad SSL proporcionada con Let’s Encrypt en el mundo va a dar un error en los ordenadores y dispositivos con los sistemas operativos sin actualizar. Ojo, los sistemas operativos, no los navegadores. Estos son los sistemas operativos donde el error es visible:

  • Windows por debajo de la versión XP SP3
  • Windows 7 (sin la actualización de certificados raíz específica instalada).
  • macOS por debajo de la versión 10.12.1
  • iOS de iPhone por debajo de la versión 10
  • Android por debajo de la versión 7.1.1
  • Ubuntu por debajo de la versión 16.04
  • Debian por debajo de la versión 8

En los sistemas operativos por encima de esas versiones el problema tiene solución, pero en esas versiones o inferiores, la solución es difícil, por no decir que no hay solución, salvo algunos pequeños islotes de esperanza que vamos a ver luego.

¿Está mi sistema en riesgo si visito estas páginas?

Generalmente no, ten en cuenta que el hecho de que el certificado de seguridad haya caducado y tu ordenador no lo reconozca, y no sea capaz de adquirir el nuevo certificado no significa en una web que solías visitar con tranquilidad, de repente deje de ser segura.

Otra cosa son webs de warez, descargas, y contenido sospechoso, ahí hay que tener cuidado siempre, pero la web de tu restaurante favorito, tu tienda online preferida o la del taller mecánico de tu barrio siguen siendo tan seguras como siempre.

¿Tiene solución el error de privacidad por la caducidad del certificado de Let’s Encrypt?

Como visitante de las páginas web no hay nada que puedas hacer, ya que la solución depende de quien te sirve la web, es decir el webmaster y el proveedor de servicios de alojamiento del sitio web que estás visitando.

Si tu sistema operativo es antiguo, lo más probable es que debas actualizarlo si puedes a la versión más actual y si no es posible, como por ejemplo me pasa a mi en mi Macbook Pro de 2009, que no me permite actualizar más lejos de MacOS 10.11.6, hay que buscar soluciones alternativas, si es que las hay.

Yo por ejemplo he conseguido ver bien las páginas web en Firefox, ya que ni safari ni Chrome me permiten ver los sitios de forma segura, pero Firefox si. Según he podido leer, esto se debe a que Chrome, Safari, Edge y Opera generalmente confían en los mismos certificados raíz que el sistema operativo en el que se ejecutan, pero Firefox va por su cuenta, llama a los certificados de su propio sistema.

Partiendo de esta experiencia, debes probar en tu dispositivo móvil, pc o mac si esto te sirve, o por el contrario no hay nada que hacer salvo comprar uno nuevo.

Debemos tener en cuenta que los sistemas operativos afectados son ya muy antiguos, y por lo tanto, estadísticamente no van a ser demasiados los usuarios que se vean afectados por este problema.

Ojo con las soluciones milagrosas

Hay algunas páginas ofreciendo soluciones a este problema de retrocompatibilidad, y sinceramente no dudo de sus buenas intenciones compartiéndolos pero muchas de estas soluciones pasan por instalar un certificado de seguridad en tu equipo que probablemente haga de puente entre tu sistema y el nuevo certificado de Let’s Encrypt que tu sistema no es capaz de obtener.

Ten en cuenta que un certificado de seguridad es como dejar entrar en tu casa a alguien. Si es de confianza le dejas pasar pero ¿sino? Pues los certificados de seguridad funcionan más o menos igual. Son una invitación a pasar con tranquilidad a tu sistema, ya sea una web, una app o un procedimiento dentro de una página (pagos online, consultas de datos personales, etc).

Insisto, no tiene por que pasar nada pero hay que tener cuidado, yo, no instalaría ningún certificado que no venga de una entidad reconocida.

¿Por qué todas las páginas web me aparecen como no seguras?

Publicidad