/ Ошибка установки SSL-соединения с сертификатом Let’s Encrypt
Начиная с сегодняшнего дня, 30 сентября 2021 года при попытке соединения с сервером по шифрованным протоколам SSL/TLS могут возникать ошибки:
SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.
или другая аналогичная, сообщающая о невозможности установки защищённого соединения. Причина заключается в истечение сегодня срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра (УЦ) Let’s Encrypt. Этим УЦ выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имён), используемых в сети на веб-сайтах, почтовых серверах и других сервисах. Так как срок действия сертификата действителен не позднее 30 сентября 2021 14:01:15 GMT, после этой даты устройства и программы более не могут доверять ему и соединения не будут устанавливаться.
Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако, устройства и операционные системы, не получающие обновления цепочки сертификатов, могут не иметь его в списке доверенных и столкнутся с ошибками SSL соединения. Список такого ПО и операционных систем:
- Android до версии 7.1.1;
- Windows до XP Service Pack 3;
- iOS-устройств до версии iOS 10;
Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.
С 30 сентября 2021 компания Microsoft прекратила поддержку корневых сертификатов ISRG Root X1 в Windows 7 и многие пользователи столкнулись с невозможностью открыть сайты по протоколу HTTPS.
Однако способ решения проблемы есть — загрузить новый корневой сертификат ISRG Root X1 и установить его вручную.
Выполним следующие шаги:
1. Скачиваем сертификат с сайта издателя (Let’s Encrypt) по данной ссылке. При попытке загрузки можем увидеть аналогичное сообщение об ошибке, нажимаем Дополнительные — перейти на сайт letsencrypt.org (небезопасно).
2. Вызываем сочетанием WIN+R окно Выполнить и выполним команду certmgr.msc
3. После запуска менеджера сертификатов переход в: Доверенные корневые центры сертификации. Нажимаем правой кнопкой мыши на Сертификаты, Все задачи, Импорт.
4. В открывшемся окне мастера импорта сертификатов нажимаем Далее.
5. В следующем окне нажимаем кнопку Обзор и выбираем скачанный сертификат, после чего нажимаем Открыть и Далее.
6. Обязательно выбираем пункт Поместить все сертификаты в следующее хранилище, в поле должно быть указано Доверенные корневые центры сертификации и нажимаем Далее. Если выбрано иное — воспользуйтесь кнопкой Обзор.
7. Нажимаем Готово.
8. При появлении окна с предупреждением, нажимаем Да.
9. После успешного добавления сертификата — перезагружаем компьютер и пробуем зайти на нужные веб-страницы, все должно работать.
Если после добавления сертификата появляется похожая ошибка — проверяем включено ли в системе использование протокола TLS 1.2.
Зайдите в Пуск — Панель управления. Выберите Просмотр — Мелкие значки. Откройте Свойства обозревателя (или Свойства браузера). Перейдите на вкладку Дополнительно. Поставьте галочку в пункте Использовать TLS 1.2 и нажмите ОК.
Перезапускам браузер и пробуем зайти на нужные веб-страницы, все должно работать.
С 11 января 2021 года Let’s Encrypt перейдёт на использование собственного корневого сертификата ISRG Root X1. Android начал доверять этому сертификату с версии 7.1.1, поэтому если у вас более старая версия, то все сайты, использующие сертификаты от Let’s Encrypt для шифрования соединений, постепенно перестанут открываться.
Технические подробности для любопытствующихДля защиты от атак хакеров соединение с сайтом шифруется, а в процессе установки зашифрованного соединения сайт передаёт браузеру свой сертификат, содержащий открытый ключ, используемый в асимметричной криптографии. Чтобы убедиться, что этот сертификат не подделан хакером, придуманы центры сертификации (удостоверяющие центры) — любая система содержит набор встроенных корневых сертификатов от некоторых ЦС, к которым есть доверие по умолчанию (предполагается, что они честные и неподкупные). Эти центры сертификации занимаются выдачей сертификатов сайтам, при этом выполняя проверку, что сайт действительно принадлежит тому, кто запрашивает сертификат (по домену, почте или, в случае Extended Validation, даже звонком человека по телефону). При этом выдаваемый сертификат заверяется цифровой подписью ЦС. Браузер проверяет эту подпись, и если она корректна и сделана доверенным центром сертификации, то всё хорошо. Если подпись неверна или сделана незнакомым центром сертификации, то есть смысл заподозрить вмешательство хакеров, и браузер отказывается соединяться с сайтом.
Раньше сертификаты были в основном платными, но в 2015 году появился Let’s Encrypt, который выдаёт бесплатные сертификаты, причём полностью автоматизированно. Естественно, в 2015 году ни одна система не знала никакой Let’s Encrypt и не стала бы доверять его корневому сертификату, поэтому, чтобы как-то начать работу, Let’s Encrypt попросил IdenTrust подписать свой промежуточный сертификат — IdenTrust давно знаком всем системам, так что благодаря такой кросс-сертификации Let’s Encrypt стал доверенным, и сайты потихоньку начали переходить на использование Let’s Encrypt. А из-за того, что браузеры и поисковые системы всё меньше любят отсутствие шифрования, на многих сайтах, у которых никогда не было HTTPS, он начал появлятья — таким образом Let’s Encrypt стал очень широко распространён.
Следующие несколько лет это работало хорошо. Однако все сертификаты в целях безопасности имеют ограниченный срок действия, и их нужно периодически обновлять. Срок действия корневого сертификата, на который сейчас опирается Let’s Encrypt, — DST Root CA X3 — истекает 30 сентября 2021 года, а промежуточный сертификат Let’s Encrypt с кросс-подписью от IdenTrust истекает 17 марта 2021 года. За прошедшие годы новый корневой сертификат от Let’s Encrypt — ISRG Root X1 — был добавлен во все новые системы (в частности, он был добавлен в Android 7.1.1), поэтому в теории всё должно быть хорошо: можно переключиться на использование нового корневого сертификата, и все новые системы будут ему доверять.
На практике проблему создают старые системы, которые не обновлялись несколько лет и не знают ни о каком ISRG Root X1. Особенно печальна ситуация с Android — около 30% Android устройств до сих пор используют версию 7.0 или что-то ещё более старое. При открытии сайтов, опирающихся на новый корневой сертификат, такие старые устройства будут выдавать ошибку установки защищённого соединения.
Из-за старых андроидов Let’s Encrypt уже дважды откладывал переход на свой корневой сертификат. Однако откладывать больше некуда: имеющийся промежуточный сертификат перестанет работать в марте 2021 года, а делать новую кросс-сертификацию слишком проблематично. Поэтому Let’s Encrypt с 11 января 2021 года начнёт выдавать сайтам сертификаты, заверенные с использованием нового корневого сертификата, — и по мере обновления сертификатов на сайтах они перестанут открываться на старых устройствах.
Если он открылся, то скорее всего всё хорошо и вас проблема не затронет. Если у вас Chrome, вы можете тапнуть по замочку в адресой строке, открыть данные сертификата и убедиться, что используется именно ISRG Root X1:
(Если вместо ISRG Root X1 написано DST Root CA X3 — значит Chrome всё-таки додумался своровать сертификат от другого сайта, и проблема может коснуться вашего устройства.)
Если вместо этого вы получите ошибку, то всё плохо
Чтобы избавиться от ошибки, можно
купить новый телефон
вручную добавить новый корневой сертификат в доверенные. Для этого:
Также будет нелишним проверить телефоны, планшеты и умные телевизоры мамы/папы/дяди/тёти/брата/сестры — вдруг какие-нибудь нужные им сайты тоже используют Let’s Encrypt.
Ещё можно передать привет пользователям Windows 7, отключившим обновления, так как они упустили обновление 2018 года, добавляющее этот самый корневой сертификат.
Android
Устройства с версиями ОС Android до 7.1.1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
При перепубликации статьи установка активной индексируемой
гиперссылки на источник — сайт обязательна!
Windows
В Windows установить корневой сертификат ISRG Root X1 можно запустив оснастку «Сертификаты» командой:
и импортировав в корневые сертификаты учётной записи компьютера файл сертификата.
