Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме Техника

От корневых сертификатов в системе может зависеть правильная работа при обращении к ресурсам, которые работают по зашифрованному каналу связи. Если данные сертификаты устареют, мы можем столкнуться с рядом проблем:

  • Некорректная работа отдельных приложений.
  • Ошибки при подключении по ssh.

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания.

30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.

Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. С учётом того, что на текущий момент Let’s Encrypt предоставляет бесплатные криптографические сертификаты примерно для 250 миллионов доменных имен, а «устаревшие системы» — это порой системы возрастом всего 5-6 лет, вряд ли окончание срока действия сертификата DST Root CA X3 пройдёт для всех гладко и незаметно. В чём причина, кого конкретно это затронет, и что можно сделать?

Ниже представлена инструкция для Windows 7, Ubuntu и Centos 7, которая позволит исправить ошибку letsencrypt.

Если у вас возникает ошибка доступа к сайтам, в связи с истечением сертифика IdenTrust DST Root CA X3 на старых системах.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Если вы получаете ошибки git:

Помогаю со студенческими работами здесь

Не загружается моноблок HP — ошибка DSTДоброго времени суток!
Перестал загружаться моноблок от HP. No boot disk has been detected or the.

Ошибка жесткого диска короткого DSTДоброго времени суток! У меня такая проблема случилась. При включении ноутбука и появлении рабочего.

Игнорирование перехода времени на летнее (DST)Собственно это возможно сделать без составления громадного массива?

Добавлено через 1 час 11.

О memcopy, а именно об ее первом параметре void *dstДоброго времени суток. Не подскажете, как можно модернезировать код, что бы обойтись без лишнего.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Где хранятся правила перехода STANDARD/DST time?Вроде бы начиная с 1970 года эти locale-dependent правила хранятся имеено в файле локали, но в.

Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:

30 сентября 2021 14:01:15 GMT (17:01 MSK) оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.

Сертификаты Let’s Encrypt перестанут восприниматься в уже не поддерживаемых прошивках и операционных системах, а так же клиентах, в которых для обеспечения доверия к сертификатам Let’s Encrypt потребуется ручное добавление сертификата ISRG Root X1 в хранилище корневых сертификатов. Проблемы будут проявляться в:
OpenSSL до ветки 1. 2 включительно (сопровождение ветки 1. 2 было прекращено в декабре 2019 года);
NSS < 3. 26 (curl);
Java 8 < 8u141, Java 7 < 7u151;
Windows < XP SP3;
macOS < 10. 1;
iOS < 10 (iPhone < 5);
Android < 2. 6;
Mozilla Firefox < 50;
Ubuntu < 16. 04;
Debian < 8.

Содержание
  1. Вас может заинтересовать
  2. Почему перестали открываться сайты на старых компьютерах и смартфонах?
  3. ОС Ubuntu 16
  4. ОС Centos 7
  5. Windows 7
  6. IOS (iPhone и iPad с ОС до 10 версии)
  7. Установка из репозитория
  8. Загрузка пакета с сертификатами
  9. Установка вручную
  10. Корневые сертификаты
  11. Промежуточные сертификаты
  12. Сертификат подписания ответов OCSP
  13. Прозрачность сертификата
  14. Root Certificates
  15. Cross Signing
  16. Roots
  17. OCSP Signing Certificate
  18. Certificate Transparency
  19. Что делать, если сайт не открывается на старом компьютере или телефоне?
  20. Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?
  21. Ручное обновление корневых сертификатов
  22. Установка корневого сертификата в ОС Windows, iOS, Linux, Android
  23. Обновление всех сертификатов безопасности на старых версиях Windows
  24. Быстрый и простой способ обновления сертификатов Windows
  25. Как еще можно открывать сайты на старых компьютерах и смартфонах?
  26. Немного теории и истории
  27. Что произойдет 30 сентября?
  28. Что со всем этим делать?
  29. На стороне сервера
  30. Запрос нового сертификата
  31. Восстановление сертификата
  32. Итоги

Вас может заинтересовать

30 сентября 2021 истекает DST Root CA X3 root certificate

Для тех аппаратов, в которых уже есть ISRG Root X1 root certificate (во многих Windows 10 Mobile Build 1709 и некоторые телефоны на сборке 1703), это не создаст никаких проблем.

А вот там, где этого ISRG Root X1 сертификата нет, будет плохо. Ориентировочно (не точно) речь идет о телефонах (Windows Phone, iPhone, Blackberry), которые не получали системные обновления после 2016 года. Для Андроидов 2. 6 — 4. 4 проблема решена специальным хаком со стороны LetsEncrypt

На все, что ниже build 1703 и, скорее всего, на WP 8. 1 будут проблемы

Я переупаковал установочный файл приложения «Сертификаты» в appx для ручной установки на WP 8. 1 и W10МCertificates. zip ( 165. 76 КБ )

isrg. pem. txt ( 1. 9 КБ )

Сообщение отредактировал symnok — 30. 21, 17:51

Почему перестали открываться сайты на старых компьютерах и смартфонах?

Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами. В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID.

Сертификат IdenTrust DST Root CA X3 выпущен некоммерческим удостоверяющим центром Let’s Encrypt, который предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает зашифрованную передачу данных между узлами компьютерной сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не может.

Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.

Обычно сертификаты Windows предоставляются автоматически. Например, если вы приобрели что-нибудь в интернет-магазине через безопасный веб-сайт, сертификат может использоваться для шифрования данных кредитной карты.

Если сертификат нужен для личного использования, например для добавления цифровой подписи в сообщение электронной почты, он может не предоставляться автоматически. В таком случае нужно обратиться в центр сертификации с запросом на сертификат и импортировать его.

Дополнительные сведения см. Импорт и экспорт сертификатов и закрытых ключей.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Если в компании, в которой вы работаете, сертификаты используются для доступа к сети и не обновляются автоматически, вы можете получить сообщение об окончании срока действия сертификата. Чтобы восстановить или получить новый сертификат, выполните следующие действия.

Некоторых пользователей The Bat! коснулась проблема истёкшего сертификата Let‘s Encrypt для защищенных соединений. В ближайшее время вы выпустим новую версию The Bat! с обновленным сертификатом, а пока вы можете быстро решить эту проблему, следуя инструкции:2. Перейдите в адресную книгу The Bat! И включите отображение книг сертификатов через меню “Вид”

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Выберите книгу Trusted Root CA и найдите контакт DST Root CA X3 в списке, откройте свойства контакт, кликнув по нему два раза левой кнопкой мышки. Внимание: если вы не находите запись DST Root CA X3, создайте новый контакт в адресной книге Trusted Root CA и назовите его DST Root CA X3.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Перейдите на вкладку Сертификаты, выберите истёкший сертификат и нажмите кнопку “Удалить”.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

После того, как вы удалите старый сертификат, нажмите кнопку “Импортировать” и выберете обновленный сертификат, который вы загрузили на компьютер (см. шаг 1).

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Нажмите два раза левой кнопкой мышки на сертификат, чтобы просмотреть его, переключитесь на вкладку Путь сертификации и проверьте состояние сертификата — убедитесь, что он действителен.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Нажмите ОК, чтобы сохранить изменения — проблема решена!

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Для этого загрузите сертификат, а затем в меню Настройки —> Конфиденциальность и безопасность —> Безопасность, нажмите на кнопку «Настроить сертификаты».

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Для установки сертификата перейдите на вкладку «Доверенные корневые центры сертификации» и нажмите кнопку «Импорт

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

и в открывшемся окне кнопку «Далее >».

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Для выбора файла сертификата нажмите кнопку «Обзор.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Найдите на жестком диске сохраненный файл сертификата и нажмите кнопку «Открыть»

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

и затем кнопку «Далее >».

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Затем следует подтвердить завершение работы мастера, нажав кнопку «Готово»,

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

следом кнопку «Да»,

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

и, наконец, кнопку «ОК».

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Для контроля правильности проделанных операций в окне Сертификаты откройте вкладку Доверенные корневые центры сертификации и в конце списка найдите установленный вами корневой сертификат

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

и откройте окно информации о сертификате, нажав кнопку «Просмотр». Убедитесь, что сертификат действителен и его срок действия оканчивается 10. 2035 г.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Главная
/

Архив новостей / Ошибка установки SSL-соединения с сертификатом Let’s Encrypt

Начиная с сегодняшнего дня, 30 сентября 2021 года при попытке соединения с сервером по шифрованным протоколам SSL/TLS могут возникать ошибки:

SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

или другая аналогичная, сообщающая о невозможности установки защищённого соединения. Причина заключается в истечение сегодня срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра (УЦ) Let’s Encrypt. Этим УЦ выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имён), используемых в сети на веб-сайтах, почтовых серверах и других сервисах. Так как срок действия сертификата действителен не позднее 30 сентября 2021 14:01:15 GMT, после этой даты устройства и программы более не могут доверять ему и соединения не будут устанавливаться.

Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако, устройства и операционные системы, не получающие обновления цепочки сертификатов, могут не иметь его в списке доверенных и столкнутся с ошибками SSL соединения. Список такого ПО и операционных систем:

  • Mozilla Firefox до 50.0;
  • MacOS 10.12.0 и старше;
  • OpenSSL 1.0.2 и ниже;
  • Ubuntu до версий 16.04;
  • Debian 8 и старше.

Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.

В первую очередь ответим на вопрос «Зачем продлевать текущий сертификат, если можно купить новый?»Ответ прост: при продлении сертификата Вы получите готовый к установке сертификат гораздо быстрее, поскольку повторная проверка Ваших данных проходит в упрощенном режиме.

За 30 дней до окончания срока действия сертификата Вам будет выставлен счет, который необходимо оплатить до указанной даты, поскольку позже продление сертификата будет невозможно.

Шаги, которые необходимо выполнить для продления Вашего SSL сертификата:

  • Оплатить счет до указанного срока.
  • Дождаться письма с темой «Продлите Ваш SSL-сертификат», которое придет на e-mail, указанный в учетной записи.
  • Перейти по ссылке и завершить проверку владения доменом.
  • Получить новый сертификат от Центра Сертификации.
  • Установить новый сертификат на сервер, где расположен сайт.

Важно! После продления сертификата приватный ключ (RSA) не меняется. Используйте тот же приватный ключ, что и при первой установке SSL-сертификата. Если приватный ключ утерян, то потребуется перевыпуск сертификата с генерированием нового CSR-запроса.

Обратите внимание, что процесс повторного конфигурирования и установки сертификата обязателен. В случае, если Вы произведете оплату счета, но не будут выполнены последующие действия, то сертификат прекратит свою корректную работу в день окончания его первоначального срока действия.

Дополнительно:  Не работает тачпад на Windows 10 » Страница 2

Если у Вас возникли вопросы, пожалуйста, обратитесь в нашу службу поддержки.

Думаете, где лучше купить ssl-сертификат? Хотите купить дешевый SSL для вашего веб-сайта? Смотрите наши предложения от центров сертификации Comodo, GeoTrust, Thawte и Symantec. У нас вы также найдете wildcard, мультидоменные MDC SSL и OV SSL-сертификаты.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Цепочки доверия сертификатов Let’s Encrypt: по новой цепочке доверия сертификаты работают только на тех устройствах, которые знают про ISRG Root X1. Источник

Какие устройства столкнутся с ошибками SSL-соединения

  • Windows старше, чем версия XP SP3;
  • Ubuntu старше, чем версия 16.04;
  • Nintendo старше, чем версия 3DS;
  • PlayStation старше, чем версия 5.0.

Что делать владельцам сайтовТак как старый корневой сертификат SSL не восстановят, у пользователей продолжатся проблемы с доступом к сайтам. Есть два способа решить проблему:

  • Предложить посетителям сайта обновиться до новой версии ПО, чтобы их устройства узнали про новыйкорневой сертификат ISRG Root X1
  • Купить SSL-сертификат для сайта, совместимый со старыми версиями устройств.

Купить SSL по скидке

ОС Ubuntu 16

Пропишите новые сертификаты в конфигурационном файле:

После выполнения команды должно вывести информацию об успешной установки трех новых сертификатов:

Updating certificates in /etc/ssl/certs. 3 added, 0 removed; done. Running hooks in /etc/ca-certificates/update. done.

Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-certificates. crt

ОС Centos 7

Установите программу для работы с сертификатами:

yum install ca-certificates
update-ca-trust force-enable

Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-bundle. crt

Windows 7

Контрольные суммы сертификата:

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Перейдите на вкладку chrome://settings/

Откройте пункт Конфиденциальность и Безопасность и выберите раздел безопасность

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Откройте пункт Настроить сертификаты

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Выберите пункт Доверенные корневые центры сертификации

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Нажмите на кнопку Импорт

Нажмите обзор и выберите загруженный файл.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

В выпадающем списке нужно выбрать все файлы

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Убедитесь что установка идет в Доверенные корневые центры сертификации.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

В окне предупреждения безопасности нужно ответить да

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Импорт успешно завершен

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Перезагрузите компьютер.

IOS (iPhone и iPad с ОС до 10 версии)

Устройства с версиями ОС Android до 7. 1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

При перепубликации статьи установка активной индексируемой
гиперссылки на источник — сайт обязательна!

Установка из репозитория

Самый простой способ, который нужно попробовать, установить сертификаты из официального репозитория системы. В зависимости от ее типа, наши команды будут немного отличаться.

а) для систем на базе DEB (Debian, Ubuntu, Mint):

apt install ca-certificates

б) для систем на базе RPM (Rocky Linux, CentOS):

Если нам повезет и в репозитории будут обновленные корневые центры, наша работа закончена. Иначе, устанавливаем сертификаты вручную.

Загрузка пакета с сертификатами

Установка из репозитория может не дать нужного эффекта, если в нем находятся не самые свежие сертификаты или наша система сильно устарела или не имеет выхода в Интернет.

В этом случае нам нужно загрузить пакет с корневыми сертификатами вручную. Разберем пример на системе Ubuntu. В официальном репозитории или в поисковой системе находим пакет для загрузки, например, по ссылке ftp. debian. org/debian/pool/main/c/ca-certificates копируем ссылку на файл с последней версией сертификатов, и загружаем его на наш компьютер:

Полученный пакет устанавливаем в системе:

dpkg -i ca-certificates_*_all. deb

И обновляем корневые сертификаты:

Установка вручную

Выше рассмотрены самые удобные способы обновления корневых сертификатов. Но мы можем столкнуться с ситуацией, когда в предоставляемых официальных пакетах не окажется обновленного сертификата. Например, на момент написания данной инструкции у систем на базе Deb не оказалось нового сертификата для Let’s Encrypt, а старый закончил свое действие 30 сентября 2021 года.

В данном случае, мы можем установить любой нужный нам сертификат руками. Для этого скачала находим его и копируем — приведем пример с Let’s Encrypt. На странице letsencrypt. org/ru/certificates мы можем увидеть ссылки на корневые сертификаты. Допустим, нам нужен Let’s Encrypt Authority X3 (Signed by ISRG Root X1), который доступен по ссылке letsencrypt. org/certs/letsencryptauthorityx3. pem. txt. Копируем последовательность и создаем файл на компьютере:

——BEGIN CERTIFICATE——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——END CERTIFICATE——

Открываем на редактирование файл:

vi /etc/ca-certificates. conf

И добавляем в него строку с указанием на созданный файл:

Но в моем случае был прописан также файл с устаревшим сертификатом — указание на него нужно закомментировать:

После чего обновить сертификаты:

* опция fresh позволит не только добавить, но и удалить всего того, что нет в конфигурационном файле. Для нас это необходимо, чтобы убрать устаревший сертификат.

Мы должны увидеть что-то на подобие:

Updating certificates in /etc/ssl/certs. 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update. done.

Корневые сертификаты

Наши корневые сертификаты хранятся в надёжном месте и недоступны онлайн. Мы выпускаем сертификаты для пользователей на основе промежуточных сертификатов из следующего раздела. Для дополнительной совместимости с новым Root X2 с различными корневыми хранилищами, мы также подписали его с Root X1.

  • Активные
    ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
    Самоподписанный: der, pem, txtКросс подписанный DST Root CA X3: der, pem, txt
  • ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
    Самоподписанный: der, pem, txtКросс подписанный DST Root CA X3: der, pem, txt
  • Самоподписанный: der, pem, txt
  • Кросс подписанный DST Root CA X3: der, pem, txt
  • Действующий, с ограничениями
    ISRG Root X2 (ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
    Самоподписанный: der, pem, txtКросс-подписанный ISRG Root X1: der, pem, txt
  • ISRG Root X2 (ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
    Самоподписанный: der, pem, txtКросс-подписанный ISRG Root X1: der, pem, txt
  • Кросс-подписанный ISRG Root X1: der, pem, txt

Мы создали сайты для проверки цепочки сертификатов вплоть до активных корневых.

  • ISRG Root X1
    ДействительныйОтозванныйСрок действия истёк
  • Действительный
  • Отозванный
  • Срок действия истёк
  • ISRG Root X2
    ДействительныйОтозванныйСрок действия истёк

Промежуточные сертификаты

Как правило, сертификаты, выпущенные Let’s Encrypt, создаются на основе “R3”, промежуточного RSA. В настоящее время выпуск сертификатов из “E1”, промежуточного ECDSA-сертификата, возможен только для ключей ECDSA из разрешенных аккаунтов. В будущем выпуск сертификатов из “Е1” будет доступен для всех.

Дополнительные промежуточные сертификаты (“R4” и “E2”) зарезервированы для восстановления после стихийных бедствий, и будут использованы только в том случае, если мы потеряем доступ к нашими основным межуточным сертификатам. Мы больше не используем промежуточные сертификаты X1, X2, X3 и X4.

IdenTrust кросс-подписал наши промежуточные сертификаты RSA для дополнительной совместимости.

  • Активные
  • Действующий, с ограничениями
  • Резервное копирование
  • Неиспользуемые

Каждый из наших промежуточных сертификатов представляет собой одну публичную/частную ключевую пару. Это позволяет всем основным браузерам принимать наши сертификаты с нашим же корневым сертификатом.

Кросс-подпись означает, что каждый из наших промежуточных сертификатов имеет два сертификата, представляющих один и тот же ключ подписи. Один подписан DST Root CA X3, другой подписан ISRG Root X1. Самый простой способ отличить их — посмотреть на поле “Issuer” (издатель).

При настройке web-сервера, администратор указывает не только листовые сертификаты, но и список промежуточных сертификатов. Это помогает браузеру проверить, входит ли листовой сертификат в цепочку доверия, ведущую к корневому сертификату. Почти все операторы серверов будут выбирать для обслуживания цепочку, включающую промежуточный сертификат с субъектом “R3” и издателем “ISRG Root X1”. Рекомендуемое клиентское программное обеспечение Let’s Encrypt, Certbot, выполнит эту задачу без затруднений.

Как и промежуточные сертификаты, корневые сертификаты могут быть кросс-подписаны, часто для увеличения клиентской совместимости. Наш корневой ECDSA-сертификат, ISRG Root X2 был создан осенью 2020 года и является корневым сертификатом для иерархии ECDSA. Он представлен двумя сертификатами: самоподписанным и подписанным ISRG Root X1.

Все сертификаты, подписанные промежуточным ECDSA-сертификатом “E1”, будут иметь цепочку с промежуточным сертификатом, у которого субъект “ISRG Root X2”, а издатель “ISRG Root X1”. Почти все сервера выберут для обслуживания эту цепочку, поскольку она обеспечивает наибольшую совместимость до тех пор, пока ISRG Root X2 не получит широкого доверия.

Сертификат подписания ответов OCSP

Этот сертификат используется для подписания ответов OCSP для промежуточных Центров Сертификации Let’s Encrypt. Таким образом нам не нужно иметь онлайне-доступ к корневому сертификату, чтобы подписать эти ответы. Копия сертификата подписания включена в ответ OCSP для информирования, дополнительно пользователям ничего делать не нужно.

У наших новых промежуточных сертификатов нет OCSP URL-адресов (их информация об отзыве вместо этого используется CRL), поэтому мы не выпустили сертификат подписи OCSP от ISRG Root X2.

Прозрачность сертификата

В Let’s Encrypt мы в нацелены на прозрачность в наших процессах и в сертификатах, которые выпускаем. Мы записываем сертификаты в журнал Certificate Transparency сразу, как только выпускаем их. Все наши сертификаты доступны по ссылкам:

  • Выпущены Let’s Encrypt Authority X1
  • Выпущены Let’s Encrypt Authority X3
  • Выпущены Е1
  • Выпущены R3

Root Certificates

Our roots are kept safely offline. We issue end-entity certificates to subscribers from the intermediates in the next section. For additional compatibility as we submit our new Root X2 to various root programs, we have also cross-signed it from Root X1.

  • Active
    ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
    Self-signed: der, pem, txtCross-signed by DST Root CA X3: der, pem, txt
  • ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
    Self-signed: der, pem, txtCross-signed by DST Root CA X3: der, pem, txt
  • Self-signed: der, pem, txt
  • Cross-signed by DST Root CA X3: der, pem, txt
  • Active, limited availability
    ISRG Root X2 (ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
    Self-signed: der, pem, txtCross-signed by ISRG Root X1: der, pem, txt
  • ISRG Root X2 (ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
    Self-signed: der, pem, txtCross-signed by ISRG Root X1: der, pem, txt
  • Cross-signed by ISRG Root X1: der, pem, txt

We’ve set up websites to test certificates chaining to our active roots.

  • ISRG Root X1
    ValidRevokedExpired
  • Valid
  • Revoked
  • Expired
  • ISRG Root X2
    ValidRevokedExpired

Under normal circumstances, certificates issued by Let’s Encrypt will come from “R3”, an RSA intermediate. Currently, issuance from “E1”, an ECDSA intermediate, is possible only for ECDSA subscriber keys for allowlisted accounts. In the future, issuance from “E1” will be available for everyone.

Our other intermediates (“R4” and “E2”) are reserved for disaster recovery and will only be used should we lose the ability to issue with our primary intermediates. We do not use the X1, X2, X3, and X4 intermediates anymore.

Дополнительно:  Почему Пикает ноутбук при включении зарядки? - Все про технику, iPhone, Mac, iOS

IdenTrust has cross-signed our RSA intermediates for additional compatibility.

  • Active
  • Active, limited availability
  • Backup
  • Retired

Cross Signing

Each of our intermediates represents a single public/private
key pair. The private key of that pair generates the signature for all end-entity
certificates (also known as leaf certificates), i. the certificates we issue
for use on your server.

Our RSA intermediates are signed by ISRG Root X1. ISRG Root X1 is widely trusted at this
point, but our RSA intermediates are still cross-signed by IdenTrust’s “DST Root CA X3”
(now called “TrustID X3 Root”) for additional client compatibility. The IdenTrust
root has been around longer and thus has better compatibility with older devices
and operating systems (e. Windows XP, Android 7). You can download “TrustID X3 Root” from
IdenTrust (or, alternatively,
you can download a copy from us).

Having cross-signatures means that each of our RSA intermediates has two
certificates representing the same signing key. One is signed by DST Root
CA X3 and the other is signed by ISRG Root X1. The easiest way to distinguish
the two is by looking at their Issuer field.

When configuring a web server, the server operator configures not only the
end-entity certificate, but also a list of intermediates to help browsers verify
that the end-entity certificate has a trust chain leading to a trusted root
certificate. Almost all server operators will choose to serve a chain including
the intermediate certificate with Subject “R3” and
Issuer “ISRG Root X1”. The recommended Let’s Encrypt client software,
Certbot, will make this configuration seamlessly.

Roots

Similar to intermediates, root certificates can be cross-signed, often to increase client
compatibility. Our ECDSA root, ISRG Root X2 was generated in fall 2020 and is the root
certificate for the ECDSA hierarchy. It is represented by two certificates: one that is
self-signed and one that is signed by ISRG Root X1.

All certificates signed by the ECDSA intermediate “E1” will come with a chain including an intermediate
certificate whose Subject is “ISRG Root X2” and whose Issuer is “ISRG Root X1”. Almost all server operators
will choose to serve this chain as it offers the most compatibility until ISRG Root X2
is widely trusted.

OCSP Signing Certificate

This certificate is used to sign OCSP responses for the Let’s Encrypt Authority
intermediates, so that we don’t need to bring the root key online in order to
sign those responses. A copy of this certificate is included automatically in
those OCSP responses, so Subscribers don’t need to do anything with it. It is
included here for informational purposes only.

Our newer intermediates do not have OCSP URLs (their revocation information is
instead served via CRL), so we have not issued an OCSP Signing Cert from ISRG Root X2.

Certificate Transparency

We are dedicated to transparency in our operations and in the certificates we
issue. We submit all certificates to Certificate Transparency
logs as we issue them. You can view all
issued Let’s Encrypt certificates via these links:

  • Issued by Let’s Encrypt Authority X1
  • Issued by Let’s Encrypt Authority X3
  • Issued by E1
  • Issued by R3

Что делать, если сайт не открывается на старом компьютере или телефоне?

Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно  далеко не каждому.

Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.

К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.

Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.

Не совсем по теме

К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% — Windows 7 и 20-30% — Windows 10. Иногда встречаются Windows 8 и Windows 8. 1, а вот Mac и Linux — реально единицы.

Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?

К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.

Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.

Ручное обновление корневых сертификатов

Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.

Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:

  • Android 7.1.1 и старше;
  • Mozilla Firefox до 50.0;
  • MacOS 10.12.0 и старше;
  • Windows XP (включая Service Pack 3);
  • OpenSSL 1.0.2 и ниже;
  • Ubuntu до версии 16.04;
  • Debian 8 и старше.

Установка корневого сертификата в ОС Windows, iOS, Linux, Android

Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.

В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».

В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.

Что касается ОС Android до 7. 1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.

Обновление всех сертификатов безопасности на старых версиях Windows

Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.

В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.

Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.

Быстрый и простой способ обновления сертификатов Windows

Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.

Дополнительно:  Не работает Почта в Windows 10, что делать?

Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.

  • rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
  • rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.

Списки сертификатов получены с официального сайта Microsoft 1. 2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.

Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.

Как еще можно открывать сайты на старых компьютерах и смартфонах?

Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.

Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!

Немного теории и истории

Не углубляясь в детали, пару слов для неспециалистов, почему окончание срока действия сертификата DST Root CA X3 повлияет на сертификаты, выпущенные Let’s Encrypt. У каждой системы, проверяющей сертификат на валидность, есть своё хранилище доверенных корневых сертификатов. Система при проверке будет доверять сертификатам, которые подписаны с использованием закрытого ключа одного из этих корневых сертификатов. Сами корневые сертификаты как правило имеют длительные сроки действия, меняются редко и не используются при формировании сертификатов конечного субъекта (в данном случае, сертификатов для доменных имен), вместо этого инфраструктура открытых ключей, предполагает использование цепочек доверия  — корневые сертификаты применяются для подписания промежуточных сертификатов, а уже с использованием них подписываются сертификаты конечного субъекта (сертификаты для доменов). При этом, для того, чтобы система доверяла конечному сертификату, она должна быть способна проследить всю цепочку от этого сертификата до одного из корневых сертификатов, которым она доверяет.

После появления проекта Let’s Encrypt, его корневой сертификат ISRG Root X1 (как и любой новый корневой сертификат) не мог быстро попасть в хранилища доверенных сертификатов заметного количества систем. При этом для успешного функционирования проекта выданным сертификатам с самого начала должно было доверять максимальное количество систем «из коробки» (без дополнительных действий со стороны пользователей этих систем). В связи с этим, для сертификатов Let’s Encrypt стала использоваться цепочка доверия, ведущая к корневому сертификату DST Root CA X3, который признается большинством систем:

  • Windows >= XP SP3
  • macOS (большинство версий)
  • iOS (большинство версий)
  • Android >= v2.3.6
  • Mozilla Firefox >= v2.0
  • Java 8 >= 8u101
  • Java 7 >= 7u111
  • NSS >= v3.11.9
  • Amazon FireOS (Silk Browser)
  • Cyanogen > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • PS4 game console with firmware >= 5.00

К настоящему моменту корневой сертификат ISRG Root X1 существует уже более 5 лет и за это время попал в доверенные в большинстве современных систем, ему доверяют:

  • Windows >= XP SP3 (при условии, что производилось автоматическое обновление корневых сертификатов)
  • Mozilla Firefox >= 50.0
  • Ubuntu >= xenial / 16.04 (с установленными обновлениями)
  • Java 8 >= 8u141
  • Java 7 >= 7u151

Для сертификатов Let’s Encrypt по умолчанию в данный момент предлагается такая цепочка доверия:

IdenTrust’s DST Root CA X3 -> ISRG Root X1 -> Let’s Encrypt R3 -> Конечный сертификат пользователя

Что произойдет 30 сентября?

Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?

Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let’s encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let’s Encrypt). За исключением Android >= v2. 6, т. Android не учитывает срок действия своих доверенных корневых сертификатов.

Проблема с доверием возникнет также у систем, использующих OpenSSL версии меньше 1. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1. x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1. x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.

Что со всем этим делать?

Для того, чтобы проверить, как поведёт себя ваша система при обращении к сайтам, использующим сертификаты Let’s Encrypt, после 30 сентября, можно воспользоваться утилитой faketime. В Debian и Ubuntu она доступна в пакете faketime.

Если всё в порядке, curl вернёт содержимое страницы, если же нет — выдаст сообщение об ошибке:

curl: (60) server certificate verification failed.

В этом случае нужно убедиться, что:

  • Ваша система доверяет ISRG Root X1
  • Вы не пользуетесь устаревшей версией OpenSSL

Проверка доверия к ISRG Root X1

Например, Ubuntu 16. 04 xenial и Debian 8 jessie доверяют ISRG Root X1, но при этом поставляются с OpenSSL 1. x, поэтому проблема их может коснуться.

Чтобы проверить наличие сертификата ISRG Root X1 в числе доверенных:

В выводе команды в обоих случаях должно присутствовать:

subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1

Если такой строчки нет, то нужно добавить ISRG Root X1 в доверенные. В Debian/Ubuntu:

добавить в файл /etc/ca-certificates. conf строчку:

и выполнить комнаду

Проверка версии OpenSSL

Если система доверяет ISRG Root X1, нужно проверить версию OpenSSL

В выводе должна быть версия 1. 0 или новее.

Если используется OpenSSL 1. x, то достаточным решением проблемы будет удалить из доверенных сертификат DST Root CA X3 (это решение может не сработать для openssl версий <1. 1p и <1. 2d). Это можно сделать, не дожидаясь 30 сентября.

В файле /etc/ca-certificates. conf нужно найти строчку:

и поставить в начало сроки символ «!»:

Далее, необходимо выполнить команду:

Локальное продление срока действия сертификата DST Root CA X3

Для тех случаев, когда используется совсем старый openssl (версии меньше 1. 1p и 1. 2d, но новее 0. 8m), или по иной причине не срабатывает метод с изъятием из доверенных сертификата DST Root CA X3, можно воспользоваться еще одним методом, предложенным в статье Scott’а Helme. Метод основан на том, что OpenSSL, начиная с версии 0. 8m, не проверяет сигнатуру сертификатов, хранящихся в локальном защищенном хранилище. Таким образом, можно изменить время действия сертификата в защищенном хранилище, при этом модифицированный сертификат будет по-прежнему восприниматься OpenSSL как валидный. Для того, чтобы продлить для OpenSSL на системе срок действия сертификата DST Root CA X3 еще на три года можно выполнить следующие команды:

sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/DST_Root_CA_X3. pem

sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/ca-bundle. crt

Не забудьте проверить так же все ваши контейнеры!!! У них свои хранилища корневых сертификатов и могут использоваться другие версии openssl

Открыть скачанный файл, в открывшемся окне выбрать «Установить сертификат

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

В мастере импорта сертификатов выбрать «Локальный компьютер»:

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

Выбрать «Поместить все сертификаты в следующее хранилище», в диалоге выбора хранилища, открывающемся по кнопке «Обзор. «, выбрать «Доверенные корневые центры сертификации»:

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

На последнем шаге мастера нажать кнопку «Готово».

После выполнения этой последовательности шагов, сертификат должен появиться в защищенном хранилище. Чтобы проверить это, нужно нажать комбинацию клавиш «Win+R», откроется диалог «Выполнить», в котором нужно ввести certmgr. msc

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

В открывшемся окне в подразделе «Сертификаты» раздела «Доверенные корневые центры сертификации» в списке должен появиться сертификат ISRG Root X1:

Миллионы iPhone, устройств Android и iOS не будут иметь доступа в интернет, когда Россия запустит сертификат dst root ca x3. как подойти к проблеме

На стороне сервера

На стороне сервера от вас мало что зависит. Если вы используете сертификаты от Let’s Encrypt на своем сервере, то должны понимать, что после 30 сентября 2021 14:01:15 GMT к вашему серверу смогут без проблем подключиться только клиенты, доверяющие ISRG Root X1 (см. список выше), а также использующие Android >= v2. При этом, если клиенты используют OpenSSL, то они должны пользоваться версией OpenSSL >= 1.

При этом, у вас есть выбор — ценой отказа от поддержки старых Android (оставив поддержку Android >= 7. 1), вы можете сохранить поддержку OpenSSL 1. x без манипуляций на стороне клиента.

Для этого нужно использовать предлагаемую Let’s Encrypt альтернативную цепочку доверия для своих сертификатов. В этой цепочке исключен DST Root CA X3 и выглядит она так:

Для переключения на альтернативную цепочку нужно воспользоваться документацией вашего ACME-клиента. В частности, в certbot за возможность выбора альтернативной цепочки отвечает параметр  —preferred-chain.

Запрос нового сертификата

  • Откройте Диспетчер сертификатов.
  • Откройте папку Личный.
  • Меню Действие выберите пункт Все задачи и Восстановить сертификат.
  • Следуйте указаниям мастера.
  • Сертификат службы получить нельзя.
  • Чтобы получить сертификат стандарта цифровой подписи (DSS) от центра сертификации, в окне мастера запросов сертификатов следует выбрать шаблон сертификата Только подпись пользователя.

Восстановление сертификата

  • Откройте Диспетчер сертификатов.
  • Выберите сертификат, который следует восстановить.
  • Меню Действие выберите пункт Все задачи и выполните одно из следующих действий:
    Нажмите кнопку Обновить сертификат новым ключом.Наведите указатель мыши на пункт Дополнительные операции и выберите пункт Обновить сертификат тем самым ключом.
  • Нажмите кнопку Обновить сертификат новым ключом.
  • Наведите указатель мыши на пункт Дополнительные операции и выберите пункт Обновить сертификат тем самым ключом.
  • Завершите работу мастера, чтобы восстановить сертификат.

Итоги

30 сентября после окончания срока действия сертификата DST Root CA X3 часть пользователей старых устройств столкнутся с тем, что не смогут корректно открывать сайты, использующие сертификаты Let’s Encrypt. Я бы выделил в первую очередь пользователей старых устройств Apple, для которых нет возможности обновиться хотя бы на iOS 10. Кроме того, под раздачу могут попасть различные устройства IoT, старые телевизоры и подобные им устройства, для которых не существует обновлений с новыми корневыми сертификатами.

В то же время, для администраторов серверов с не очень современным софтом, которые могут взаимодействовать с сервисами, использующими сертификаты Let’s Encrypt, еще есть несколько дней на то, чтобы всё проверить и подготовиться к часу X.

Update: Добавил важное дополнение про необходимость проверки всех используемых контейнеров

Update3: Еще один метод решения проблемы для старых OpenSSL, процедура по добавлению сертификата ISRG Root X1 в доверенные в Windows для тех, кто еще не разобрался

Оцените статью
Master Hi-technology
Добавить комментарий