Problema al conectar a certificados Lets Encrypt SSL desde dispositivos antiguos

Dispositivos afectados


A partir del día 30 de Septiembre de 2021, muchos dispositivos antiguos quedarán totalmente obsoletos y no podrán navegar por internet con normalidad, siempre que visiten un sitio con "https" (más del 70% de los sitios de Internet).


Let's Encrypt, el mayor Emisor de Certificados de seguridad SSL deshabilita desde este fecha su certificado raíz "DST Root CA X3" y solo deja operativo el certificado "ISRG Root X1".


Cuando Let's Encrypt comenzó a emitir certificados para sitios webs, permitió el antiguo certificado raíz para hacerlo lo más compatible posible con dispositivos antiguos.


Sin embargo, para mejorar la seguridad, a partir del día 1 de Octubre, el certificado DST Root CA X3 dejará de ser compatible con la negociación que hacen los antiguos dispositivos con los certificados SSL actuales.


Los dispositivos que se verán afectados, son los siguientes (entre otros):


Ordenadores de sobremesa o portátiles

Ordenadores con Windows XP SP3 o anteriores (Windows Server 2008 RC, etc.)

Ordenadores Apple con MacOS anteriores al 2016 o MacOs10.12.0

Ubuntu anterior a 16.04

Debian anterior a 8


Móviles iOS o Android

Móviles y tablets con Android Gingerbread 2.3.6 o anteriores.

Dispositivos con iOS 9 o anteriores.

Móviles BlackBerry con versiones inferiores a la 10.3.3.


Consolas y Videojuegos

PlayStation 3.

PlayStation con sistema operativo anterior a la versión 5.0 (incluso el 4).

Nintendo 3DS

Kindle menor a v3.4.1

Consolas Wii



Aquí tienes más información sobre este "apagón" que se ha producido hoy mismo:


https://letsencrypt.org/es/docs/dst-root-ca-x3-expiration-september-2021/


Para verificar si tu dominio usa el CA X3, puedes usar esta utilidad:


https://verify-letsencryptr3.dnsimple.tools/



Cambiar el certificado raíz en Lets Encrypt de cPanel


Si quieres asegurarte de usar el certificado raíz ISRG Root X1 en tu dominio, visita la sección de Lets Encrypt de cPanel, pincha en la opción View para ver el certificado:



Entrarás a ver los datos del certificado.


Abajo del todo verás un desplegable para elegir o bien el certificado raíz "DST Root CA X3" o bien el recomendado "ISRG Root X1":



Pincha en "Reinstall"


Verás el siguiente desplegable de opciones (con default por defecto), donde debes elegir ISRG Root X1 y pinchar de nuevo en Reinstall.