Что это такое и когда пропадает подключение к интернету на компьютерах Apple, Android и Windows. как решить проблему

30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.

Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. С учётом того, что на текущий момент Let’s Encrypt предоставляет бесплатные криптографические сертификаты примерно для 250 миллионов доменных имен, а «устаревшие системы» — это порой системы возрастом всего 5-6 лет, вряд ли окончание срока действия сертификата DST Root CA X3 пройдёт для всех гладко и незаметно. В чём причина, кого конкретно это затронет, и что можно сделать?

Ниже представлена инструкция для Windows 7, Ubuntu и Centos 7, которая позволит исправить ошибку letsencrypt.

Если у вас возникает ошибка доступа к сайтам, в связи с истечением сертифика IdenTrust DST Root CA X3 на старых системах.

Если вы получаете ошибки git:

Уважаемый Евгений Валентинович,
когда-то г-н Костин Раю в выступлении рассказал о расследовании злодеяний группировки WildNeutron. И он долго не мог связаться с ответственный лицом из Асера, поскольку те сотрудники утаивались. Наконец ему удалось связаться с неким заведующим, сказал тому об украденом сертификате применяемом в вирусе, тот ответил: «Да, мы знаем, знаем. Всё в порядке. »  Костин в выступлении сказал, что сам не понимает, как это может быть в порядке. ???
Прошу прокомментировать этот случай, хочется побольше подробностей, и чтобы г-н Костин подробнее рассказал.

Украдены сертификаты:
Stuxnet — Realtek, JMicron. Duqu — C-MediaFlame — MicrosoftWild Neutron — AcerRegin — Microsoft, BroadcomDuqu-2 — Foxconn

Ибо хотелось бы узнать правду.

Посмотреть список установленных корневых сертификатов

Для работы с электронной подписью на компьютере должны быть установить корневые сертификаты. Это требуется только при использовании операционной системы Windows. Чтобы узнать какие сертификаты установлены на ПК:

• Откройте «Пуск/Панель управления/Свойства браузера» или «Пуск/Панель управления/Сеть и интернет/Свойства браузера».
• В открывшемся окне перейдите на вкладку «Содержание».
• Нажмите кнопку «Сертификаты».
• Перейдите на вкладку «Доверенные корневые центры сертификации». Убедитесь, что в списке присутствуют все корневые сертификаты, необходимые для работы в системе. Что делать, если сертификатов нет в списке?Сертификаты пользователя хранятся на вкладке «Личные».
• Что делать, если сертификатов нет в списке?

Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.

30 сентября 2021 14:01:15 GMT (17:01 MSK) оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.

Сертификаты Let’s Encrypt перестанут восприниматься в уже не поддерживаемых прошивках и операционных системах, а так же клиентах, в которых для обеспечения доверия к сертификатам Let’s Encrypt потребуется ручное добавление сертификата ISRG Root X1 в хранилище корневых сертификатов. Проблемы будут проявляться в:
OpenSSL до ветки 1. 2 включительно (сопровождение ветки 1. 2 было прекращено в декабре 2019 года);
NSS < 3. 26 (curl);
Java 8 < 8u141, Java 7 < 7u151;
Windows < XP SP3;
macOS < 10. 1;
iOS < 10 (iPhone < 5);
Android < 2. 6;
Mozilla Firefox < 50;
Ubuntu < 16. 04;
Debian < 8.

Вас может заинтересовать

Как отмечалось в одной из прошлых статей на iPhones. ru, некоторые старые macOS устройства перестали поддерживать SSL сертификаты, выпущенные организацией Let’s Encrypt.

Связано это с конфликтом корневых сертификатов, которые ответственные за выпуск SSL сертификатов для веб-сайтов. Один из корневых сертификатов партнера Let’s Encrypt прекратил действовать 30 сентября 2021 года.

В связи с этим могут наблюдаться проблемы с открытием некоторых веб-страниц. Например, вот одна из таких ошибок:

Есть два способа решить эту проблему:

Второй вариант предпочтительнее, так как он позволит избежать подобных случаев и в будущем (обновятся все корневые сертификаты на уровне системы). Также это позволит избежать проблем с сертификатами Let’s Encrypt и в других приложениях помимо браузера.

В этой статье мы будем показывать, как обновлять корневые сертификаты.

Немного теории и истории

Не углубляясь в детали, пару слов для неспециалистов, почему окончание срока действия сертификата DST Root CA X3 повлияет на сертификаты, выпущенные Let’s Encrypt. У каждой системы, проверяющей сертификат на валидность, есть своё хранилище доверенных корневых сертификатов. Система при проверке будет доверять сертификатам, которые подписаны с использованием закрытого ключа одного из этих корневых сертификатов. Сами корневые сертификаты как правило имеют длительные сроки действия, меняются редко и не используются при формировании сертификатов конечного субъекта (в данном случае, сертификатов для доменных имен), вместо этого инфраструктура открытых ключей, предполагает использование цепочек доверия  — корневые сертификаты применяются для подписания промежуточных сертификатов, а уже с использованием них подписываются сертификаты конечного субъекта (сертификаты для доменов). При этом, для того, чтобы система доверяла конечному сертификату, она должна быть способна проследить всю цепочку от этого сертификата до одного из корневых сертификатов, которым она доверяет.

После появления проекта Let’s Encrypt, его корневой сертификат ISRG Root X1 (как и любой новый корневой сертификат) не мог быстро попасть в хранилища доверенных сертификатов заметного количества систем. При этом для успешного функционирования проекта выданным сертификатам с самого начала должно было доверять максимальное количество систем «из коробки» (без дополнительных действий со стороны пользователей этих систем). В связи с этим, для сертификатов Let’s Encrypt стала использоваться цепочка доверия, ведущая к корневому сертификату DST Root CA X3, который признается большинством систем:

• Windows >= XP SP3
• macOS (большинство версий)
• iOS (большинство версий)
• Android >= v2.3.6
• Mozilla Firefox >= v2.0
• Java 8 >= 8u101
• Java 7 >= 7u111
• NSS >= v3.11.9
• Amazon FireOS (Silk Browser)
• Cyanogen > v10
• Jolla Sailfish OS > v1.1.2.16
• Kindle > v3.4.1
• PS4 game console with firmware >= 5.00

К настоящему моменту корневой сертификат ISRG Root X1 существует уже более 5 лет и за это время попал в доверенные в большинстве современных систем, ему доверяют:

• Windows >= XP SP3 (при условии, что производилось автоматическое обновление корневых сертификатов)
• Mozilla Firefox >= 50.0
• Ubuntu >= xenial / 16.04 (с установленными обновлениями)
• Java 8 >= 8u141
• Java 7 >= 7u151

Для сертификатов Let’s Encrypt по умолчанию в данный момент предлагается такая цепочка доверия:

IdenTrust’s DST Root CA X3 -> ISRG Root X1 -> Let’s Encrypt R3 -> Конечный сертификат пользователя

Что произойдет 30 сентября?

Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?

Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let’s encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let’s Encrypt). За исключением Android >= v2. 6, т. Android не учитывает срок действия своих доверенных корневых сертификатов.

Проблема с доверием возникнет также у систем, использующих OpenSSL версии меньше 1. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1. x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1. x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.

Что со всем этим делать?

Для того, чтобы проверить, как поведёт себя ваша система при обращении к сайтам, использующим сертификаты Let’s Encrypt, после 30 сентября, можно воспользоваться утилитой faketime. В Debian и Ubuntu она доступна в пакете faketime.

Если всё в порядке, curl вернёт содержимое страницы, если же нет — выдаст сообщение об ошибке:

curl: (60) server certificate verification failed.

В этом случае нужно убедиться, что:

• Ваша система доверяет ISRG Root X1
• Вы не пользуетесь устаревшей версией OpenSSL

Проверка доверия к ISRG Root X1

Например, Ubuntu 16. 04 xenial и Debian 8 jessie доверяют ISRG Root X1, но при этом поставляются с OpenSSL 1. x, поэтому проблема их может коснуться.

Чтобы проверить наличие сертификата ISRG Root X1 в числе доверенных:

В выводе команды в обоих случаях должно присутствовать:

subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1

Если такой строчки нет, то нужно добавить ISRG Root X1 в доверенные. В Debian/Ubuntu:

добавить в файл /etc/ca-certificates. conf строчку:

и выполнить комнаду

Проверка версии OpenSSL

Если система доверяет ISRG Root X1, нужно проверить версию OpenSSL

В выводе должна быть версия 1. 0 или новее.

Если используется OpenSSL 1. x, то достаточным решением проблемы будет удалить из доверенных сертификат DST Root CA X3 (это решение может не сработать для openssl версий <1. 1p и <1. 2d). Это можно сделать, не дожидаясь 30 сентября.

В файле /etc/ca-certificates. conf нужно найти строчку:

и поставить в начало сроки символ «!»:

Далее, необходимо выполнить команду:

Локальное продление срока действия сертификата DST Root CA X3

Для тех случаев, когда используется совсем старый openssl (версии меньше 1. 1p и 1. 2d, но новее 0. 8m), или по иной причине не срабатывает метод с изъятием из доверенных сертификата DST Root CA X3, можно воспользоваться еще одним методом, предложенным в статье Scott’а Helme. Метод основан на том, что OpenSSL, начиная с версии 0. 8m, не проверяет сигнатуру сертификатов, хранящихся в локальном защищенном хранилище. Таким образом, можно изменить время действия сертификата в защищенном хранилище, при этом модифицированный сертификат будет по-прежнему восприниматься OpenSSL как валидный. Для того, чтобы продлить для OpenSSL на системе срок действия сертификата DST Root CA X3 еще на три года можно выполнить следующие команды:

sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/DST_Root_CA_X3. pem

sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/ca-bundle. crt

Не забудьте проверить так же все ваши контейнеры!!! У них свои хранилища корневых сертификатов и могут использоваться другие версии openssl

Windows

Открыть скачанный файл, в открывшемся окне выбрать «Установить сертификат

В мастере импорта сертификатов выбрать «Локальный компьютер»:

Выбрать «Поместить все сертификаты в следующее хранилище», в диалоге выбора хранилища, открывающемся по кнопке «Обзор. «, выбрать «Доверенные корневые центры сертификации»:

На последнем шаге мастера нажать кнопку «Готово».

После выполнения этой последовательности шагов, сертификат должен появиться в защищенном хранилище. Чтобы проверить это, нужно нажать комбинацию клавиш «Win+R», откроется диалог «Выполнить», в котором нужно ввести certmgr. msc

В открывшемся окне в подразделе «Сертификаты» раздела «Доверенные корневые центры сертификации» в списке должен появиться сертификат ISRG Root X1:

На стороне сервера

На стороне сервера от вас мало что зависит. Если вы используете сертификаты от Let’s Encrypt на своем сервере, то должны понимать, что после 30 сентября 2021 14:01:15 GMT к вашему серверу смогут без проблем подключиться только клиенты, доверяющие ISRG Root X1 (см. список выше), а также использующие Android >= v2. При этом, если клиенты используют OpenSSL, то они должны пользоваться версией OpenSSL >= 1.

При этом, у вас есть выбор — ценой отказа от поддержки старых Android (оставив поддержку Android >= 7. 1), вы можете сохранить поддержку OpenSSL 1. x без манипуляций на стороне клиента.

Для этого нужно использовать предлагаемую Let’s Encrypt альтернативную цепочку доверия для своих сертификатов. В этой цепочке исключен DST Root CA X3 и выглядит она так:

Для переключения на альтернативную цепочку нужно воспользоваться документацией вашего ACME-клиента. В частности, в certbot за возможность выбора альтернативной цепочки отвечает параметр  —preferred-chain.

Подробнее про VPN-сервисы

Windscribe VPN включает в себя 1000 серверов в 60+ странах. Существуют различные
способы оплаты: электронный кошелек Киви, Юмани, Вебмани, с помощью банковской карты
любого международного типа. После оплаты VPN есть 30 дней для возвраты средств, если сервис вас не понравится. В
платном тарифе есть возможзность подключения до 5 различных устройств. Бесплатная версия
для ПК и смартфонов — имеется.

• Доступ к большому количеству серверов
• Банковская информация находится под защитой
• Глубокое шифрование данных
• Высокая скорость соединения

• Не предоставляет самую высокую скорость
• Отсутствует чат
• Высокая цена сервиса

Proton VPN имеет 1832 сервера в более 60 странах. Существуют различные варианты оплаты. Если вы оплатите VPN сервис, но что-то вас не будет устраивать — есть возможность
вернуть свои средства в течение 30 дней. С подключением платного тарифа вы сможете
использовать VPN для 10 различных устройств. Бесплатная версия для ПК и смартфонов. Имеется бесплатная версия для компьютера и смартфонов.

• Логи не ведет.
• Имеется система автоотключения.
• С Netflix работает.

• Дорогой
• Средняя скорость.
• Торрентинг ограничен.

Psiphon vpn имеет более 1000 серверов в 20 странах. Полностью бесплатный VPN-сервис для
ПК и смартфонов.

• Полностью бесплатный.
• Понятный интерфейс.
• Простой и доступный.

• Логи ведет.
• Не подходит для работы торрентов и Netflix.

У Secure VPN 36+ серверов в 22 странах. Оплата проходит через электронные системы
платежей. Если вы купили платную версию и вас что-то не устроило, есть возможность
вернуть средства. Платный тариф предоставляет возможность подключения к своему аккаунту
до 5 различных устройств. Есть платная версия для смартфонов и ПК.

• Аренда выделенного IP и целого VPN-сервера
• Можно выбрать IP вручную
• Ограничений по скорости и трафику нет
• Подходит для торрентов и Netflix
• Быстрый
• Логи не ведет

• Высокая стоимость.
• Бесплатная версия отсутствует.

У Browsec VPN 1000+ серверов в 42 странах. Оплатить сервис можно с помощью любых
мировых банков, а также электронных платежных систем. В течение 7 дней после оплаты есть возможность возврата средств, если сервис вам не
понравится. Платный тариф предоставляет возможность подключения к своему аккаунту до 5
различных устройств. Browsec имеет бесплатную и платную версии для ПК и смартфонов.

• Недорогие тарифы
• Бесплатная версия
• Для Torrent и потоковых сервисов подходит

• Логи ведет
• Отсутствует Kill Switch
• Занижает скорость

Zenmate предоставляет большое количество серверов и 75 стран для подключения. Оплата
проходит через Виза, Мастер Кард, Вебмани, Киви. Если после оплаты VPN и что-то вас не устраивает — верните свои средства в течение 30
дней. Платный тариф предоставляет возможность подключения до 5 различных устройств к
аккаунту. Есть платная и бесплатная версии Zenmate Vpn для ПК и смартфонов.

• Цена приемлемая
• Логи не ведет
• Подходит для потоковых сервисов
• Есть расширения для разных браузеров

• Минимальное количество предлагаемых опций
• Отсутствует техподдержка
• Средняя скорость

Super VPN предоставляет для подключения более 1000 серверов в 64 странах. Есть
различные способы оплаты. Если вы оплатите VPN и что-то вас не устроит, есть возможность вернуть средства в
течение 3 дней. В платном тарифе можно подключить только 1 устройство. Super VPN имеет
платную и бесплатную версию для смартфонов и ПК.

• Логи не ведет
• Бесплатный
• Высокая скорость

VPN 1. 1 1. 1, также известный как WARP VPN — VPN-сервис, который не скрывает ваш IP, а с
помощью шифрования трафика обходит блокировки, повышает скорость интернета, защищает
устройства от вредоносного ПО и прочих угроз. Имеются платная и бесплатная версии для
смартфонов и ПК.

• Высокая скорость
• Уровень шифрования высокий

В платной версии Itop VPN имеет более 1800 серверов и 100 стран. Есть возможность
оплаты при помощи всех виртуальных систем платежей и банковских карт по типу: Виза,
Мастер Кард, Маэстро. В течение 15 дней предусмотрена возможность возврата средств, если вам что-то не
понравится. В платном тарифе можно подключить до 10 различных устройств к своему
аккаунту. Itop VPN предоставляет бесплатную версию для ПК и смартфонов.

• Высокая скорость подключения для платной версии на ПК.
• Системные требования минимальные
• Для ПО есть iTop VPN crack (кряк)

• BBC iPlayer и Netflix не работает
• Интернет работает медленнее
• Цена завышена

VPN Gate имеет более 1000 серверов в более чем 100 странах. В течение 30 дней после
оплаты вы можете вернуть свои средства, если сервис не понравится. Есть бесплатная
версия VPN Gate для ПК и смартфонов.

Adguard VPN имеет 50+ серверов в 11 странах. Предоставляется возможность оплаты с
помощью электронных кошельков и международных дебетовых карт. В течение 30 дней можно вернуть свои средства, если Adguard VPN вам не понравится. В
платном тарифе есть возможность подключения до 5 устройств. Есть бесплатная и платная
версия для ПК и смартфонов.

• Скорость подключения высокая
• Собственный протокол
• Скорость соединения хорошая
• Торренты поддерживает
• Логи не ведет

• Малое количество стран и серверов для подключения
• Подключение только через протокол AdGuard
• Нет возможности установить на роутер

HOLA VPN включает в себя более 5000 серверов в 300 странах мира. Оплатить можно с
помощью Pay Pal и кредитных карт. Если сервис вас чем-то не устроит — возвращает денежные средства в течение 30 дней. С
платного тарифа можно подключить до 10 различных устройств к своему аккаунту. Hola VPN
включает в себя платную и бесплатную версии для компьюетров и смартфонов.

• Для стриминга — подходит
• Скорость не занижает
• Есть бесплатная версия
• Есть доступ для различных браузеров и устройств

• Для Netflix и других потоковых сервисов не подходит
• Не поддерживает торренты
• Логи ведет

Avira VPN включает в себя множество серверов в 25 странах. Оплатить сервис можно с
помощью всех виртуальных систем платежей. Если после оплаты вам не понравится Avira VPN, есть возможность вернуть средства в
течение 30 дней. Платный тариф предоставляет возможность подключения неограниченного
количества устройсв к своему аккаунту. Бесплатная версия для ПК и смартфонов — есть.

• Функция автоотключения имеется
• Утечек данных нет
• Подходит для использования Netflix

• Медленная скорость
• Собирает некоторые данные

Все публикации Хабрахабр и Гиктаймс в одном месте

Что делать, если сайт не открывается на старом компьютере или телефоне?

Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно  далеко не каждому.

Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.

К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.

Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.

Не совсем по теме

К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% — Windows 7 и 20-30% — Windows 10. Иногда встречаются Windows 8 и Windows 8. 1, а вот Mac и Linux — реально единицы.

Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?

К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.

Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.

Ручное обновление корневых сертификатов

SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.

Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:

• Android 7.1.1 и старше;
• Mozilla Firefox до 50.0;
• MacOS 10.12.0 и старше;
• Windows XP (включая Service Pack 3);
• OpenSSL 1.0.2 и ниже;
• Ubuntu до версии 16.04;
• Debian 8 и старше.

Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.

Установка корневого сертификата в ОС Windows, iOS, Linux, Android

Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.

Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.

В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».

В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.

Что касается ОС Android до 7. 1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.

Обновление всех сертификатов безопасности на старых версиях Windows

Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.

В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.

Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.

Быстрый и простой способ обновления сертификатов Windows

Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.

Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.

• rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
• rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.

Списки сертификатов получены с официального сайта Microsoft 1. 2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.

Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.

Как еще можно открывать сайты на старых компьютерах и смартфонах?

Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.

Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!

IOS (iPhone и iPad с ОС до 10 версии)

Устройства с версиями ОС Android до 7. 1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

При перепубликации статьи установка активной индексируемой
гиперссылки на источник — сайт обязательна!

Обновление корневых сертификатов в macOS

Примечание: символы ввода пароля не будут отображаться в Терминале. Если терминал не выдаст никаких ошибок, перезагрузите компьютер и очистите кэш Вашего браузера. Проблема должна быть устранена.

Этот пост написан читателем в разделе Тусовка, где каждый может разместить статью. Начните по этой ссылке. Лучшие посты появятся на iPhones. Обязательно прочитайте инструкцию, она поможет.

Как отмечалось в одной из прошлых статей на iPhones. ru, некоторые старые macOS устройства перестали поддерживать SSL сертификаты, выпущенные организацией Let’s Encrypt. Связано это с конфликтом корневых сертификатов, которые ответственные за выпуск SSL сертификатов для веб-сайтов. Один из корневых сертификатов партнера Let’s Encrypt прекратил действовать 30 сентября 2021 года. В связи с этим могут наблюдаться проблемы.

• инструкции,
• это полезно

Корневые сертификаты

Наши корневые сертификаты хранятся в надёжном месте и недоступны онлайн. Мы выпускаем сертификаты для пользователей на основе промежуточных сертификатов из следующего раздела. Для дополнительной совместимости с новым Root X2 с различными корневыми хранилищами, мы также подписали его с Root X1.

• Активные
  ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
  Самоподписанный: der, pem, txtКросс подписанный DST Root CA X3: der, pem, txt
• ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
  Самоподписанный: der, pem, txtКросс подписанный DST Root CA X3: der, pem, txt
• Самоподписанный: der, pem, txt
• Кросс подписанный DST Root CA X3: der, pem, txt
• Действующий, с ограничениями
  ISRG Root X2 (ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
  Самоподписанный: der, pem, txtКросс-подписанный ISRG Root X1: der, pem, txt
• ISRG Root X2 (ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
  Самоподписанный: der, pem, txtКросс-подписанный ISRG Root X1: der, pem, txt
• Кросс-подписанный ISRG Root X1: der, pem, txt

Мы создали сайты для проверки цепочки сертификатов вплоть до активных корневых.

• ISRG Root X1
  ДействительныйОтозванныйСрок действия истёк
• Действительный
• Отозванный
• Срок действия истёк
• ISRG Root X2
  ДействительныйОтозванныйСрок действия истёк

Промежуточные сертификаты

Как правило, сертификаты, выпущенные Let’s Encrypt, создаются на основе “R3”, промежуточного RSA. В настоящее время выпуск сертификатов из “E1”, промежуточного ECDSA-сертификата, возможен только для ключей ECDSA из разрешенных аккаунтов. В будущем выпуск сертификатов из “Е1” будет доступен для всех.

Дополнительные промежуточные сертификаты (“R4” и “E2”) зарезервированы для восстановления после стихийных бедствий, и будут использованы только в том случае, если мы потеряем доступ к нашими основным межуточным сертификатам. Мы больше не используем промежуточные сертификаты X1, X2, X3 и X4.

IdenTrust кросс-подписал наши промежуточные сертификаты RSA для дополнительной совместимости.

• Активные
• Действующий, с ограничениями
• Резервное копирование
• Неиспользуемые

Каждый из наших промежуточных сертификатов представляет собой одну публичную/частную ключевую пару. Это позволяет всем основным браузерам принимать наши сертификаты с нашим же корневым сертификатом.

Кросс-подпись означает, что каждый из наших промежуточных сертификатов имеет два сертификата, представляющих один и тот же ключ подписи. Один подписан DST Root CA X3, другой подписан ISRG Root X1. Самый простой способ отличить их — посмотреть на поле “Issuer” (издатель).

При настройке web-сервера, администратор указывает не только листовые сертификаты, но и список промежуточных сертификатов. Это помогает браузеру проверить, входит ли листовой сертификат в цепочку доверия, ведущую к корневому сертификату. Почти все операторы серверов будут выбирать для обслуживания цепочку, включающую промежуточный сертификат с субъектом “R3” и издателем “ISRG Root X1”. Рекомендуемое клиентское программное обеспечение Let’s Encrypt, Certbot, выполнит эту задачу без затруднений.

Как и промежуточные сертификаты, корневые сертификаты могут быть кросс-подписаны, часто для увеличения клиентской совместимости. Наш корневой ECDSA-сертификат, ISRG Root X2 был создан осенью 2020 года и является корневым сертификатом для иерархии ECDSA. Он представлен двумя сертификатами: самоподписанным и подписанным ISRG Root X1.

Все сертификаты, подписанные промежуточным ECDSA-сертификатом “E1”, будут иметь цепочку с промежуточным сертификатом, у которого субъект “ISRG Root X2”, а издатель “ISRG Root X1”. Почти все сервера выберут для обслуживания эту цепочку, поскольку она обеспечивает наибольшую совместимость до тех пор, пока ISRG Root X2 не получит широкого доверия.

Сертификат подписания ответов OCSP

Этот сертификат используется для подписания ответов OCSP для промежуточных Центров Сертификации Let’s Encrypt. Таким образом нам не нужно иметь онлайне-доступ к корневому сертификату, чтобы подписать эти ответы. Копия сертификата подписания включена в ответ OCSP для информирования, дополнительно пользователям ничего делать не нужно.

У наших новых промежуточных сертификатов нет OCSP URL-адресов (их информация об отзыве вместо этого используется CRL), поэтому мы не выпустили сертификат подписи OCSP от ISRG Root X2.

Прозрачность сертификата

В Let’s Encrypt мы в нацелены на прозрачность в наших процессах и в сертификатах, которые выпускаем. Мы записываем сертификаты в журнал Certificate Transparency сразу, как только выпускаем их. Все наши сертификаты доступны по ссылкам:

• Выпущены Let’s Encrypt Authority X1
• Выпущены Let’s Encrypt Authority X3
• Выпущены Е1
• Выпущены R3

ОС Ubuntu 16

Пропишите новые сертификаты в конфигурационном файле:

После выполнения команды должно вывести информацию об успешной установки трех новых сертификатов:

Updating certificates in /etc/ssl/certs. 3 added, 0 removed; done. Running hooks in /etc/ca-certificates/update. done.

Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-certificates. crt

ОС Centos 7

Установите программу для работы с сертификатами:

yum install ca-certificates
update-ca-trust force-enable

Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-bundle. crt

Windows 7

Контрольные суммы сертификата:

Перейдите на вкладку chrome://settings/

Откройте пункт Конфиденциальность и Безопасность и выберите раздел безопасность

Откройте пункт Настроить сертификаты

Выберите пункт Доверенные корневые центры сертификации

Нажмите на кнопку Импорт

Нажмите обзор и выберите загруженный файл.

В выпадающем списке нужно выбрать все файлы

Убедитесь что установка идет в Доверенные корневые центры сертификации.

В окне предупреждения безопасности нужно ответить да

Импорт успешно завершен

Перезагрузите компьютер.

Ошибка продления лицензии — Метод GetLicense завершился с ошибкой

Если у вас после 30 сентября появляется ошибка SslHandshakeFailedError обновления лицензии на IP-приёмнике, то, скорее всего, в вашей операционной системе не установлены обновлённые сертификаты. Для проверки пройдите по ссылке на сайт Let’s Encrypt.

Если на странице вы видите предупреждения безопасности, то вам необходимо добавить сертификат ISRG Root X1 в корневые доверенные сертификаты.

• страница сертификатов Let’s Encrypt
• напрямую с сайта Let’s Encrypt
• с нашего сайта

Следующим шагом необходимо установить сертификат.

Установка сертификата

Открываем скачанный сертификат кликом мыши:

Установим для текущего пользователя, жмём далее

Выбираем «Поместить все сертификаты в следующее хранилище» и нажимаем далее

Выбираем «Доверенные корневые центры сертификации»

Затем повторяем те же шаги для «Локальный компьютер»

На этом установка сертификата закончена.

Перезапуск IP-приёмника

• Завершаем работу IP-приёмника
• Удаляем из папки IP-приёмника C:Program Files (x86)NPO PionerIP-приёмник Барьер файлы private.pem и public.pem
• Запускаем IP-приёмник
• В настройках на вкладке лицензия, проверяем что лицензия успешна получена

Действительность должна быть «Да», время получения — текущее время.

Где взять корневой сертификат?

Корневые сертификаты выдают сертификационные центры. REG. RU сотрудничает с шестью сертификационными центрами. Выберите SSL-сертификат, который подходит для ваших целей, и закажите его со страницы SSL-сертификаты.

Также вы можете воспользоваться специальным предложением REG. RU и получить бесплатный SSL-сертификат на 1 год при заказе домена или хостинга. Читайте об этом в статье: Как заказать бесплатный SSL-сертификат?

После заказа SSL и его активации на указанную контактную почту придет письмо с необходимыми данными для установки сертификата на сайт (в частности, корневой сертификат). Подробнее о содержимом письма в статье Где взять данные для установки SSL-сертификата.

Могу ли я создать корневой сертификат самостоятельно?

Чтобы создать корневой сертификат самому, нужно получить статус сертификационного центра. Эта процедура связана со значительными финансовыми затратами, поэтому в большинстве случаев мы рекомендуем обращаться к существующим центрам сертификации.

Установка цепочки сертификатов

Список доверенных сертификатов, использующихся для создания цепочки, приходит в информационном письме после выпуска и активации SSL. Для установки цепочки сертификатов (в том числе, корневого) воспользуйтесь подробными инструкциями справочного раздела: Установка SSL-сертификата.

Итоги

30 сентября после окончания срока действия сертификата DST Root CA X3 часть пользователей старых устройств столкнутся с тем, что не смогут корректно открывать сайты, использующие сертификаты Let’s Encrypt. Я бы выделил в первую очередь пользователей старых устройств Apple, для которых нет возможности обновиться хотя бы на iOS 10. Кроме того, под раздачу могут попасть различные устройства IoT, старые телевизоры и подобные им устройства, для которых не существует обновлений с новыми корневыми сертификатами.

В то же время, для администраторов серверов с не очень современным софтом, которые могут взаимодействовать с сервисами, использующими сертификаты Let’s Encrypt, еще есть несколько дней на то, чтобы всё проверить и подготовиться к часу X.

Update: Добавил важное дополнение про необходимость проверки всех используемых контейнеров

Update3: Еще один метод решения проблемы для старых OpenSSL, процедура по добавлению сертификата ISRG Root X1 в доверенные в Windows для тех, кто еще не разобрался

Где скачать сертификат DST Root CA x3?

Для этого нажмите сочетание кнопок Win +R и введите команду certmgr. msc — OK. В открывшемся центре сертификатов в Windows откройте вкладку «Доверенные корневые центры сертификации/ сертификаты » — клик правой кнопкой мыши — выберите «Все задачи — импорт»

Как установить корневой сертификат ISRG root X1?

Установить скачанный сертификат в систему. Для этого нажмите сочетание кнопок Win +R и введите команду certmgr. msc — OK. В открывшемся центре сертификатов в Windows откройте вкладку «Доверенные корневые центры сертификации / сертификаты » — клик правой кнопкой мыши — выберите «Все задачи — импорт»

Как получить корневой сертификат?

Где взять корневой сертификат ? Корневые сертификаты выдают сертификационные центры. RU сотрудничает с шестью сертификационными центрами. Выберите SSL- сертификат , который подходит для ваших целей, и закажите его со страницы SSL- сертификаты