На старых устройствах Let’s Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust Техника

Как многие знают, вчера закончился сертификат Let’s Encrypt DST Root CA X3, использовавшийся, в том числе и для почтовых серверов Zimbra.

Я прождал до последнего и столкнулся с несколькими проблемами после его истечения, например перестала отправляться почта из системы обработки заявок OTRS и почтового клиента Spark. После некоторой возни было найдено решение по обновлению сертификата с новым корневым CA.

Моя конфигурация — Centos 7. 9 и Zimbra 8

30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.

Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. С учётом того, что на текущий момент Let’s Encrypt предоставляет бесплатные криптографические сертификаты примерно для 250 миллионов доменных имен, а «устаревшие системы» — это порой системы возрастом всего 5-6 лет, вряд ли окончание срока действия сертификата DST Root CA X3 пройдёт для всех гладко и незаметно. В чём причина, кого конкретно это затронет, и что можно сделать?

Откройте диспетчер сертификатов: нажмите кнопку «Пуск», в поле Поиск введите

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Меню -> Действие -> «Поиск сертификатов»

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

-> в поле Содержит: ISGR Root X1
нажать кнопку «Найти»

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Если нашло «ISGR Root X1» значит у вас все в порядке,
можно настраивать подключение следуя основной инструкции.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

И установить в «Сторонние корневые центры сертификации» и в «Доверенные корневые центры сертификации» для этого:

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Устанавливаем сертификат.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Нажимаем «Установить сертификат»

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Корневой сертификат ISRG Root X1 установлен, теперь можно настраивать подключение следуя основной инструкции.

CN=ISRG Root X1,­O=Internet Secur­ity Research Gro­up,C=US

CN=DST Root CA X­3,O=Digital Sign­ature Trust Co.

Not valid before:

2015-06-04 11:04­:38 UTC

2021-01-20 19:14­:03 UTC

Not valid after:

2035-06-04 11:04­:38 UTC

2024-09-30 18:14­:03 UTC

Certificate Sign­, CRL Sign

Как отмечалось в одной из прошлых статей на iPhones. ru, некоторые старые macOS устройства перестали поддерживать SSL сертификаты, выпущенные организацией Let’s Encrypt.

Связано это с конфликтом корневых сертификатов, которые ответственные за выпуск SSL сертификатов для веб-сайтов. Один из корневых сертификатов партнера Let’s Encrypt прекратил действовать 30 сентября 2021 года.

В связи с этим могут наблюдаться проблемы с открытием некоторых веб-страниц. Например, вот одна из таких ошибок:

Есть два способа решить эту проблему:

Второй вариант предпочтительнее, так как он позволит избежать подобных случаев и в будущем (обновятся все корневые сертификаты на уровне системы). Также это позволит избежать проблем с сертификатами Let’s Encrypt и в других приложениях помимо браузера.

В этой статье мы будем показывать, как обновлять корневые сертификаты.

Содержание
  1. Почему перестали открываться сайты на старых компьютерах и смартфонах?
  2. Решение через ручную установку сертификата
  3. Решение через установку обновлений
  4. Дополнительно
  5. Статьи по теме
  6. Немного теории и истории
  7. Что произойдет 30 сентября?
  8. Что со всем этим делать?
  9. Windows
  10. На стороне сервера
  11. Следующий — Let’s Encrypt
  12. Certificates
  13. Что делать, если сайт не открывается на старом компьютере или телефоне?
  14. Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?
  15. Ручное обновление корневых сертификатов
  16. Установка корневого сертификата в ОС Windows, iOS, Linux, Android
  17. Обновление всех сертификатов безопасности на старых версиях Windows
  18. Быстрый и простой способ обновления сертификатов Windows
  19. Как еще можно открывать сайты на старых компьютерах и смартфонах?
  20. Инструкция по обновлению
  21. Корневые сертификаты
  22. Промежуточные сертификаты
  23. Сертификат подписания ответов OCSP
  24. Прозрачность сертификата
  25. Обновление корневых сертификатов в macOS
  26. IOS (iPhone и iPad с ОС до 10 версии)
  27. Запрос нового сертификата
  28. Восстановление сертификата
  29. Итоги

Почему перестали открываться сайты на старых компьютерах и смартфонах?

Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами. В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID.

Сертификат IdenTrust DST Root CA X3 выпущен некоммерческим удостоверяющим центром Let’s Encrypt, который предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает зашифрованную передачу данных между узлами компьютерной сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не может.

Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.

Обычно сертификаты Windows предоставляются автоматически. Например, если вы приобрели что-нибудь в интернет-магазине через безопасный веб-сайт, сертификат может использоваться для шифрования данных кредитной карты.

Если сертификат нужен для личного использования, например для добавления цифровой подписи в сообщение электронной почты, он может не предоставляться автоматически. В таком случае нужно обратиться в центр сертификации с запросом на сертификат и импортировать его.

Дополнительные сведения см. Импорт и экспорт сертификатов и закрытых ключей.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Если в компании, в которой вы работаете, сертификаты используются для доступа к сети и не обновляются автоматически, вы можете получить сообщение об окончании срока действия сертификата. Чтобы восстановить или получить новый сертификат, выполните следующие действия.

А для Windows простейшим решением будет загрузить сертификат ISRG Root X1 с официального сайта Let’s Encrypt и вручную импортировать его в хранилище доверенных корневых центров сертификации. Для этого:

Откройте скачанный вами файл isrgrootx1. der

Импортируйте его в хранилище доверенных корневых центров сертификации следующим образом.

Нажмите “Установить сертификат”:

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Выберите “Поместить все сертификаты в следующее хранилище”. Нажмите “Обзор”. Выберите “Доверенные корневые центры сертификации”:

Если появится сообщение с вопросом, ответьте “Да”.

А через командную строку третий шаг можно выполнить так: certutil -ent -addstore Root isrgrootx1. der

С 1 октября 2021 года закончился срок действия сертификата IdenTrust DST Root CA X3 (одного из основных корневых сертификатов, применяемых в сети), который установлен на многих устройствах.

Из-за этого владельцы ПК на Windows 7, Windows Server 2008 с выключенными обновлениями и Windows XP могут столкнуться с проблемой появления ошибки: «ERR_CERT_DATE_INVALID»,«ERR_DATE_INVALID» и прочими ошибками сертификатов при входе на многие сайты.

Есть два способа решить эту проблему: либо установить новый сертификат, либо установить обновления ОС Windows.

Решение через ручную установку сертификата

Необходимо запустить скачанный файл, на вкладке «Общие» нажать «Установить сертификат».

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Выберите расположение «Локальный компьютер» и нажмите «Далее».

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите «Обзор», выберите раздел «Доверенные корневые центры сертификации», нажмите «ОК» и «Далее», а в следующем окне – «Готово». При появлении вопросов об установке сертификатов – согласитесь на установку.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

После этого перезапустите браузер и вновь попробуйте зайти на необходимый сайт.

Решение через установку обновлений

Для решения ошибки сертификата нужно установить обновления KB3020369 и KB3125574:

  • KB3020369 из каталога Центра обновлений Microsoft
  • KB3125574 из каталога Центра обновлений Microsoft

Дополнительно

Иногда установка одного лишь IdenTrust DST Root CA X3 может не помочь, так же рекомендуем дополнительно установить следующие корневые сертификаты:

  • Go Daddy Root Certificate Authority
  • GlobalSign Root CA

Изменено: Ср, 27 Апр, 2022 at 6:42 PM

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Если во время тестирования возникает ошибка «Подключение не защищено» с кодом «NET::ERR_CERT_DATE_INVALID» и Вы используете OS X El Capitan, то причиной ошибки является использование устаревшего корневого сертификата DST Root CA X3, чей срок действия завершился 30. 2021.

Это влияет на доступность множества сайтов в сети Интернет. Для устранения проблемы, рекомендуется обновиться на версию macOS Sierra 10. 1 или новее. Подробнее об обновлении на сайте Apple.

Альтернативный вариант — установка корневого сертификата вручную. Выполните следующие шаги:

  • Нажмите дважды левой кнопкой мыши на файл isrgrootx1.der и в диалоговом окне — Добавить:
  • Нажмите дважды левой кнопкой мыши на сертификат ISRG Root X1 и в новом окне нажмите на треугольник слева от надписи «Доверие»:
  • В пункте «Параметры использования сертификата» выберите «Всегда доверять» и затем закройте данное окно (красная кнопка). Для подтверждения может потребоваться ввод пароля администратора компьютера:
  • Закройте все окна и браузер. Затем попробуйте зайти повторно на проблемную страницу.

К сожалению, мы не смогли помочь вам в разрешении проблемы. Ваш отзыв позволит нам улучшить эту статью.

Статьи по теме

Главная
/

Архив новостей / Ошибка установки SSL-соединения с сертификатом Let’s Encrypt

Начиная с сегодняшнего дня, 30 сентября 2021 года при попытке соединения с сервером по шифрованным протоколам SSL/TLS могут возникать ошибки:

SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

или другая аналогичная, сообщающая о невозможности установки защищённого соединения. Причина заключается в истечение сегодня срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра (УЦ) Let’s Encrypt. Этим УЦ выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имён), используемых в сети на веб-сайтах, почтовых серверах и других сервисах. Так как срок действия сертификата действителен не позднее 30 сентября 2021 14:01:15 GMT, после этой даты устройства и программы более не могут доверять ему и соединения не будут устанавливаться.

Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако, устройства и операционные системы, не получающие обновления цепочки сертификатов, могут не иметь его в списке доверенных и столкнутся с ошибками SSL соединения. Список такого ПО и операционных систем:

  • Mozilla Firefox до 50.0;
  • MacOS 10.12.0 и старше;
  • OpenSSL 1.0.2 и ниже;
  • Ubuntu до версий 16.04;
  • Debian 8 и старше.

Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.

Немного незаметной прошла новость о том, что ISRG Root X1, корневой сертификат ЦС Let’s Encrypt, стал напрямую доверенным со стороны продуктов Microsoft. Теперь прямое доверие существует со стороны всех основных списков доверительных корневых сертификатов, включая Microsoft, Google, Apple, Mozilla, Oracle и Blackberry.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Со стороны пользователей услуг сервиса Let’s Encrypt не требуется никаких дополнительных действий. Рекомендуется, однако, следить за тем, чтобы клиент ACME (программный агент, отвечающий за получение продления используемых в системах сертификатов от LE, такой, как Certbot или acme. sh) регулярно обновлялся.

По информации сервиса, на сегодня некоммерческий удостоверяющий центр Let’s Encrypt (в свою очередь, управляемый ISRG, публичной организацией Internet Security Research Group), предоставляет сертификаты более чем 115 миллионам веб-сайтов.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Проблема с доступом возникнет из-за окончания срока действия цифрового корневого сертификата IdenTrust DST Root CA X3, подтверждающего соединение между гаджетами и сайтами.

Ограничение касается многих устаревших операционных систем:

▪️ iOS 9 и ниже
▪️ macOS 10. 1 и ниже
▪️ Windows ниже XP SP3
▪️ Android 7. 1 и ниже

Дополнительно:  What is the "root" page of a website called (e.g. called?

Что можно сделать:

Самое очевидное решение — обновить прошивку устройства или установить более свежую операционную систему, если такая возможность присутствует. К примеру, для многих старых Android-смартфонов существуют кастомные прошивки на базе современных версий ОС.

Кардинальный способ – это отказаться от использования устаревшего гаджета и заменить его актуальной моделью.

Использовать современную версию браузера Firefox, поскольку у него есть собственное хранилище актуальных корневых сертификатов. Однако этот способ подойдет далеко не всем. Например, актуальная на 29 сентября 2021 г. версия Firefox для смартфонов поддерживала ОС Android не ниже версии 5. 0 Nougat.

Установить корневой сертификат (Для пользователей ОС WINDOWS ) простейшим решением будет загрузить сертификат ISRG Root X1 с официального сайта Let’s Encrypt и вручную импортировать его в хранилище доверенных корневых центров сертификации. Для этого:

  • Откройте скачанный вами файл isrgrootx1.der
  • Импортируйте его в хранилище доверенных корневых центров сертификации Следующим образом
  • Нажмите “Установить сертификат”:
  • Выберите “Поместить все сертификаты в следующее хранилище”.
  • Нажмите “Обзор”.
  • Выберите “Доверенные корневые центры сертификации”:
  • Если появится сообщение с вопросом, ответьте “Да”.
  • Перезагрузить компьютер

Если вы технический специалист, не хотите читать ничего лишнего, а просто желаете получить готовое решение, переходите сразу к этому разделу.

Статья сугубо техническая, несмотря на вольный и слегка художественный стиль повествования в самом начале. В ней приводятся несколько проверенных решений реально существующей проблемы, появившейся незадолго до написания статьи и затронувшей миллионы устройств по всему миру.

Инженер не должен все знать. Он должен знать, где найти решение.

Итак, свершилось! В очередной раз где-то на неизвестной горе засвистел герой народных присказок, известный как Рак, в то время как другой герой этих же присказок, даже пребывая в жаренном состоянии, начал клевать ягодицы расслабленных пользователей интернета под обеспокоенным взором крестящихся мужиков, напуганных очередным раскатом грома.

Конец света (по мнению многих обывателей) начался буднично. В красивый и приятный осенний день 1 октября 2021 года, который пришелся на всегда ожидаемую из-за предстоящих выходных и слегка сумбурную из-за начала нового месяца пятницу, многочисленные пользователи довольно-таки старых, но все еще бережно хранимых и даже, пусть со скрипом, но вполне себе работающих устройств, вдруг не смогли зайти на свои любимые сайты.

Вот представьте: хотите вы с утра включить онлайн радио и послушать музыку, а взамен получаете сообщение «Ваше подключение не является приватным». Или вам по работе позарез нужно зайти на определенный сайт со своей учетной записью, а вместо этого вы видите на экране «Часы спешат. Не удалось установить защищенное соединение с доменом из-за неверных настроек системных часов и календаря». Вы пытаетесь хотя бы почитать новости, но при попытке открыть сайт по ссылке страница просто не загружается. Как работать в таких условиях? Чем не конец света?

На самом деле причина таких ошибок проста и очевидна: вы используете устаревшую технику и такие же устаревшие технологии. Неважно, почему — у каждого есть свои причины и никто здесь не собирается их оспаривать. Важно, что из-за этого становится недоступной значительная часть информации и невозможной определенная деятельность в сети интернет. Давайте для начала установим причину такого положения дел.

Немного теории и истории

Не углубляясь в детали, пару слов для неспециалистов, почему окончание срока действия сертификата DST Root CA X3 повлияет на сертификаты, выпущенные Let’s Encrypt. У каждой системы, проверяющей сертификат на валидность, есть своё хранилище доверенных корневых сертификатов. Система при проверке будет доверять сертификатам, которые подписаны с использованием закрытого ключа одного из этих корневых сертификатов. Сами корневые сертификаты как правило имеют длительные сроки действия, меняются редко и не используются при формировании сертификатов конечного субъекта (в данном случае, сертификатов для доменных имен), вместо этого инфраструктура открытых ключей, предполагает использование цепочек доверия  — корневые сертификаты применяются для подписания промежуточных сертификатов, а уже с использованием них подписываются сертификаты конечного субъекта (сертификаты для доменов). При этом, для того, чтобы система доверяла конечному сертификату, она должна быть способна проследить всю цепочку от этого сертификата до одного из корневых сертификатов, которым она доверяет.

После появления проекта Let’s Encrypt, его корневой сертификат ISRG Root X1 (как и любой новый корневой сертификат) не мог быстро попасть в хранилища доверенных сертификатов заметного количества систем. При этом для успешного функционирования проекта выданным сертификатам с самого начала должно было доверять максимальное количество систем «из коробки» (без дополнительных действий со стороны пользователей этих систем). В связи с этим, для сертификатов Let’s Encrypt стала использоваться цепочка доверия, ведущая к корневому сертификату DST Root CA X3, который признается большинством систем:

  • Windows >= XP SP3
  • macOS (большинство версий)
  • iOS (большинство версий)
  • Android >= v2.3.6
  • Mozilla Firefox >= v2.0
  • Java 8 >= 8u101
  • Java 7 >= 7u111
  • NSS >= v3.11.9
  • Amazon FireOS (Silk Browser)
  • Cyanogen > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • PS4 game console with firmware >= 5.00

К настоящему моменту корневой сертификат ISRG Root X1 существует уже более 5 лет и за это время попал в доверенные в большинстве современных систем, ему доверяют:

  • Windows >= XP SP3 (при условии, что производилось автоматическое обновление корневых сертификатов)
  • Mozilla Firefox >= 50.0
  • Ubuntu >= xenial / 16.04 (с установленными обновлениями)
  • Java 8 >= 8u141
  • Java 7 >= 7u151

Для сертификатов Let’s Encrypt по умолчанию в данный момент предлагается такая цепочка доверия:

IdenTrust’s DST Root CA X3 -> ISRG Root X1 -> Let’s Encrypt R3 -> Конечный сертификат пользователя

Что произойдет 30 сентября?

Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?

Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let’s encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let’s Encrypt). За исключением Android >= v2. 6, т. Android не учитывает срок действия своих доверенных корневых сертификатов.

Проблема с доверием возникнет также у систем, использующих OpenSSL версии меньше 1. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1. x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1. x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.

Что со всем этим делать?

Для того, чтобы проверить, как поведёт себя ваша система при обращении к сайтам, использующим сертификаты Let’s Encrypt, после 30 сентября, можно воспользоваться утилитой faketime. В Debian и Ubuntu она доступна в пакете faketime.

Если всё в порядке, curl вернёт содержимое страницы, если же нет — выдаст сообщение об ошибке:

curl: (60) server certificate verification failed.

В этом случае нужно убедиться, что:

  • Ваша система доверяет ISRG Root X1
  • Вы не пользуетесь устаревшей версией OpenSSL

Проверка доверия к ISRG Root X1

Например, Ubuntu 16. 04 xenial и Debian 8 jessie доверяют ISRG Root X1, но при этом поставляются с OpenSSL 1. x, поэтому проблема их может коснуться.

Чтобы проверить наличие сертификата ISRG Root X1 в числе доверенных:

В выводе команды в обоих случаях должно присутствовать:

subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1

Если такой строчки нет, то нужно добавить ISRG Root X1 в доверенные. В Debian/Ubuntu:

добавить в файл /etc/ca-certificates. conf строчку:

и выполнить комнаду

Проверка версии OpenSSL

Если система доверяет ISRG Root X1, нужно проверить версию OpenSSL

В выводе должна быть версия 1. 0 или новее.

Если используется OpenSSL 1. x, то достаточным решением проблемы будет удалить из доверенных сертификат DST Root CA X3 (это решение может не сработать для openssl версий <1. 1p и <1. 2d). Это можно сделать, не дожидаясь 30 сентября.

В файле /etc/ca-certificates. conf нужно найти строчку:

и поставить в начало сроки символ «!»:

Далее, необходимо выполнить команду:

Локальное продление срока действия сертификата DST Root CA X3

Для тех случаев, когда используется совсем старый openssl (версии меньше 1. 1p и 1. 2d, но новее 0. 8m), или по иной причине не срабатывает метод с изъятием из доверенных сертификата DST Root CA X3, можно воспользоваться еще одним методом, предложенным в статье Scott’а Helme. Метод основан на том, что OpenSSL, начиная с версии 0. 8m, не проверяет сигнатуру сертификатов, хранящихся в локальном защищенном хранилище. Таким образом, можно изменить время действия сертификата в защищенном хранилище, при этом модифицированный сертификат будет по-прежнему восприниматься OpenSSL как валидный. Для того, чтобы продлить для OpenSSL на системе срок действия сертификата DST Root CA X3 еще на три года можно выполнить следующие команды:

sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/DST_Root_CA_X3. pem

sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/ca-bundle. crt

Не забудьте проверить так же все ваши контейнеры!!! У них свои хранилища корневых сертификатов и могут использоваться другие версии openssl

Windows

Открыть скачанный файл, в открывшемся окне выбрать «Установить сертификат

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

В мастере импорта сертификатов выбрать «Локальный компьютер»:

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Выбрать «Поместить все сертификаты в следующее хранилище», в диалоге выбора хранилища, открывающемся по кнопке «Обзор. «, выбрать «Доверенные корневые центры сертификации»:

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

На последнем шаге мастера нажать кнопку «Готово».

После выполнения этой последовательности шагов, сертификат должен появиться в защищенном хранилище. Чтобы проверить это, нужно нажать комбинацию клавиш «Win+R», откроется диалог «Выполнить», в котором нужно ввести certmgr. msc

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

В открывшемся окне в подразделе «Сертификаты» раздела «Доверенные корневые центры сертификации» в списке должен появиться сертификат ISRG Root X1:

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

На стороне сервера

На стороне сервера от вас мало что зависит. Если вы используете сертификаты от Let’s Encrypt на своем сервере, то должны понимать, что после 30 сентября 2021 14:01:15 GMT к вашему серверу смогут без проблем подключиться только клиенты, доверяющие ISRG Root X1 (см. список выше), а также использующие Android >= v2. При этом, если клиенты используют OpenSSL, то они должны пользоваться версией OpenSSL >= 1.

При этом, у вас есть выбор — ценой отказа от поддержки старых Android (оставив поддержку Android >= 7. 1), вы можете сохранить поддержку OpenSSL 1. x без манипуляций на стороне клиента.

Для этого нужно использовать предлагаемую Let’s Encrypt альтернативную цепочку доверия для своих сертификатов. В этой цепочке исключен DST Root CA X3 и выглядит она так:

Для переключения на альтернативную цепочку нужно воспользоваться документацией вашего ACME-клиента. В частности, в certbot за возможность выбора альтернативной цепочки отвечает параметр  —preferred-chain.

Следующий — Let’s Encrypt

Ещё один хороший пример предстоящей смены корневого CA — центр сертификации Let’s Encrypt. Ещё в апреле 2019 года они планировали перейти с цепочки Identrust на собственную цепочку ISRG Root, но этого не произошло.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

«Из-за опасений по поводу недостаточного распространения корня ISRG на устройствах Android мы решили перенести дату перехода к собственному корню с 8 июля 2019 года на 8 июля 2020 года», — сказано в официальном сообщении Let’s Encrypt.

Дополнительно:  Можно ли брать ноутбук в самолет: как ручную кладь, 2019, аэрофлот, на борт

Дату пришлось перенести из-за проблемы, которую называют «распространением корня» (root propagation), а точнее, отсутствием распространения корня, когда корневой CA не слишком широко распространён на всех клиентах.

Сейчас Let’s Encrypt использует перекрёстно подписанный промежуточный сертификат с цепочкой до корня IdenTrust DST Root CA X3. Этот корневой сертификат был выдан ещё в сентябре 2000 года и истекает 30 сентября 2021 года. До этого времени Let’s Encrypt планирует перейти на собственный самоподписанный корень ISRG Root X1.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Корень ISRG выпущен 4 июня 2015 года. После этого начался процесс его утверждения в качестве центра сертификации, который завершился 6 августа 2018 года. С этого момента корневой CA был доступен всем клиентам через обновление операционной системы или программного обеспечения. Всё, что нужно было сделать, — это установить обновление.

Но в этом и проблема.

Если ваш мобильный телефон, телевизор или другое устройство не обновлялось два года — как оно узнает о новом корневом сертификате ISRG Root X1? А если его не установить в системе, то все серверные сертификаты Let’s Encrypt ваше устройство признает недействительными, как только Let’s Encrypt перейдёт на новый корень. А в экосистеме Android много устаревших устройств, которые давно не обновлялись.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Вот почему Let’s Encrypt отложил переход к собственному корню ISRG и всё ещё использует промежуточное звено, которое спускается к корню IdenTrust. Но переход в любом случае придётся сделать. И датой смены корня назначено 8 июля 2020 года.

Let’s Encrypt не единственный, кому предстоит решить проблему с переходом на новый корень. Криптографию в интернете начали использовать чуть более 20 лет назад, так что как раз сейчас наступает момент окончания действия многих корневых сертификатов.

С такой проблемой могут столкнуться владельцы умных телевизоров, которые много лет не обновляли программное обеспечение Smart TV. Например, новый корень GlobalSign R5 Root выпущен в 2012 году, и после некоторые старые Smart TV не могут построить цепочку к нему, потому что этот корневой CA у них просто отсутствует. В частности, эти клиенты не могли установить защищённое соединение с сайтом bbc. Чтобы решить проблему, админам BBC пришлось пойти на хитрость: они построили для этих клиентов альтернативную цепочку через дополнительные промежуточные сертификаты, задействуя старые корни R3 Root и R1 Root, которые ещё не протухли.

www. bbc. uk (Leaf)
GlobalSign ECC OV SSL CA 2018 (Intermediate)
GlobalSign Root CA — R5 (Intermediate)
GlobalSign Root CA — R3 (Intermediate)

Это временное решение. Проблема никуда не уйдёт, если не обновить клиентское ПО. Умный телевизор — это по сути ограниченный в функциональности компьютер под Linux. И без обновлений его корневые сертификаты неизбежно протухнут.

Это касается всех устройств, не только телевизоров. Если у вас любое устройство, которое подключено к интернету и которое рекламировали как «умный» девайс, то проблема с протухшими сертификатами почти наверняка касается его. Если устройство не обновляется, то корневое хранилище CA со временем устареет, и в конечном итоге проблема всплывёт на поверхность. Как скоро возникнет проблема, зависит от времени последнего обновления корневого хранилища. Это может быть за несколько лет до даты реального выпуска устройства.

Кстати, в этом проблема, почему некоторые крупные медиаплатформы не могут использовать современные автоматизированные центры сертификации типа Let’s Encrypt, пишет Скотт Хельме. Для умных ТВ они не подходят, и количество корней слишком мало, чтобы гарантировать поддержку сертификата на устаревших устройствах. В противном случае ТВ просто не сможет запустить современные стриминговые сервисы.

Последний инцидент с AddTrust показал, что даже крупные IT-компании бывают не готовы к тому, что у корневого сертификата заканчивается срок действия.

Решение проблемы только одно — обновление. Разработчики умных устройств должны заранее обеспечить механизм обновления программного обеспечения и корневых сертификатов. С другой стороны, производителям невыгодно обеспечивать работу своих устройств по окончании срока гарантии.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Certificates

FingerprintIssuerSerialPublic KeyDownloadTools

cabd­2a79­a107­6a31­f21d­2536­35cb­039d­4329­a5e8self signed1728­8692­8669­7904­7606­4670­2435­0416­9061­120cabd2a79a1PEM
TXT
JSON

TLSA

933c­6dde­e95c­9c41­a40f­9f50­493d­82be­03ad­87bfDST Root CA X38507­8200­2656­4441­7569­1093­8914­2156­1187­11933c6ddee9PEM
TXT
JSON

TLSA

Что делать, если сайт не открывается на старом компьютере или телефоне?

Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно  далеко не каждому.

Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.

К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.

Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.

Не совсем по теме

К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% — Windows 7 и 20-30% — Windows 10. Иногда встречаются Windows 8 и Windows 8. 1, а вот Mac и Linux — реально единицы.

Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?

К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.

Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.

Ручное обновление корневых сертификатов

Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.

Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:

  • Android 7.1.1 и старше;
  • Mozilla Firefox до 50.0;
  • MacOS 10.12.0 и старше;
  • Windows XP (включая Service Pack 3);
  • OpenSSL 1.0.2 и ниже;
  • Ubuntu до версии 16.04;
  • Debian 8 и старше.

Установка корневого сертификата в ОС Windows, iOS, Linux, Android

Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.

На старых устройствах Let's Encrypt потеряет доверие из-за устаревания корневого сертификата IdenTrust

Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.

В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».

В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.

Что касается ОС Android до 7. 1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.

Обновление всех сертификатов безопасности на старых версиях Windows

Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.

В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.

Дополнительно:  Не работает Bluetooth на ноутбуке в Windows 10

Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.

Быстрый и простой способ обновления сертификатов Windows

Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.

Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.

  • rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
  • rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.

Списки сертификатов получены с официального сайта Microsoft 1. 2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.

Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.

Как еще можно открывать сайты на старых компьютерах и смартфонах?

Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.

Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!

Инструкция по обновлению

Устанавливаем новый certbot

sudo yum install epel-release
sudo yum install snapd
sudo systemctl enable —now snapd. socket
sudo snap install core
sudo reboot

После перезагрузки Zimbra отказалась запускаться, сославшись на некорректный сертификат, но на всякий случай, я приведу команды в таком порядке, как будто она работает.

Если вы впервые получаете сертификат, замените 3 строку на это:

certbot certonly —standalone —preferred-chain «ISRG Root X1»

mail. example. com в 6 строке необходимо заменить на доменное имя вашего почтового сервера

letsencryptCA в 7 строке — файл, содержащий новый корневой сертификат. Вы должны создать его сами и скопировать туда этот текст:

——BEGIN CERTIFICATE——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=
——END CERTIFICATE——

Обратите внимание, что корневой сертификат, в результате команды в 7 строке, добавляется именно в конец полученного вами файла chain. pem

Все команды в этой части выполняются от имени пользователя root:

В этот момент мы переключаемся на пользователя zimbra и выполняем следующее:

zmcertmgr verifycrt comm privkey. pem cert. pem chain. pem
zmcertmgr deploycrt comm cert. pem chain. pem
zmcontrol restart

Если всё пройдет без ошибок, то вы получите свежий сертификат и работающую почтовую систему.

Корневые сертификаты

Наши корневые сертификаты хранятся в надёжном месте и недоступны онлайн. Мы выпускаем сертификаты для пользователей на основе промежуточных сертификатов из следующего раздела. Для дополнительной совместимости с новым Root X2 с различными корневыми хранилищами, мы также подписали его с Root X1.

  • Активные
    ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
    Самоподписанный: der, pem, txtКросс подписанный DST Root CA X3: der, pem, txt
  • ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
    Самоподписанный: der, pem, txtКросс подписанный DST Root CA X3: der, pem, txt
  • Самоподписанный: der, pem, txt
  • Кросс подписанный DST Root CA X3: der, pem, txt
  • Действующий, с ограничениями
    ISRG Root X2 (ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
    Самоподписанный: der, pem, txtКросс-подписанный ISRG Root X1: der, pem, txt
  • ISRG Root X2 (ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
    Самоподписанный: der, pem, txtКросс-подписанный ISRG Root X1: der, pem, txt
  • Кросс-подписанный ISRG Root X1: der, pem, txt

Мы создали сайты для проверки цепочки сертификатов вплоть до активных корневых.

  • ISRG Root X1
    ДействительныйОтозванныйСрок действия истёк
  • Действительный
  • Отозванный
  • Срок действия истёк
  • ISRG Root X2
    ДействительныйОтозванныйСрок действия истёк

Промежуточные сертификаты

Как правило, сертификаты, выпущенные Let’s Encrypt, создаются на основе “R3”, промежуточного RSA. В настоящее время выпуск сертификатов из “E1”, промежуточного ECDSA-сертификата, возможен только для ключей ECDSA из разрешенных аккаунтов. В будущем выпуск сертификатов из “Е1” будет доступен для всех.

Дополнительные промежуточные сертификаты (“R4” и “E2”) зарезервированы для восстановления после стихийных бедствий, и будут использованы только в том случае, если мы потеряем доступ к нашими основным межуточным сертификатам. Мы больше не используем промежуточные сертификаты X1, X2, X3 и X4.

IdenTrust кросс-подписал наши промежуточные сертификаты RSA для дополнительной совместимости.

  • Активные
  • Действующий, с ограничениями
  • Резервное копирование
  • Неиспользуемые

Каждый из наших промежуточных сертификатов представляет собой одну публичную/частную ключевую пару. Это позволяет всем основным браузерам принимать наши сертификаты с нашим же корневым сертификатом.

Кросс-подпись означает, что каждый из наших промежуточных сертификатов имеет два сертификата, представляющих один и тот же ключ подписи. Один подписан DST Root CA X3, другой подписан ISRG Root X1. Самый простой способ отличить их — посмотреть на поле “Issuer” (издатель).

При настройке web-сервера, администратор указывает не только листовые сертификаты, но и список промежуточных сертификатов. Это помогает браузеру проверить, входит ли листовой сертификат в цепочку доверия, ведущую к корневому сертификату. Почти все операторы серверов будут выбирать для обслуживания цепочку, включающую промежуточный сертификат с субъектом “R3” и издателем “ISRG Root X1”. Рекомендуемое клиентское программное обеспечение Let’s Encrypt, Certbot, выполнит эту задачу без затруднений.

Как и промежуточные сертификаты, корневые сертификаты могут быть кросс-подписаны, часто для увеличения клиентской совместимости. Наш корневой ECDSA-сертификат, ISRG Root X2 был создан осенью 2020 года и является корневым сертификатом для иерархии ECDSA. Он представлен двумя сертификатами: самоподписанным и подписанным ISRG Root X1.

Все сертификаты, подписанные промежуточным ECDSA-сертификатом “E1”, будут иметь цепочку с промежуточным сертификатом, у которого субъект “ISRG Root X2”, а издатель “ISRG Root X1”. Почти все сервера выберут для обслуживания эту цепочку, поскольку она обеспечивает наибольшую совместимость до тех пор, пока ISRG Root X2 не получит широкого доверия.

Сертификат подписания ответов OCSP

Этот сертификат используется для подписания ответов OCSP для промежуточных Центров Сертификации Let’s Encrypt. Таким образом нам не нужно иметь онлайне-доступ к корневому сертификату, чтобы подписать эти ответы. Копия сертификата подписания включена в ответ OCSP для информирования, дополнительно пользователям ничего делать не нужно.

У наших новых промежуточных сертификатов нет OCSP URL-адресов (их информация об отзыве вместо этого используется CRL), поэтому мы не выпустили сертификат подписи OCSP от ISRG Root X2.

Прозрачность сертификата

В Let’s Encrypt мы в нацелены на прозрачность в наших процессах и в сертификатах, которые выпускаем. Мы записываем сертификаты в журнал Certificate Transparency сразу, как только выпускаем их. Все наши сертификаты доступны по ссылкам:

  • Выпущены Let’s Encrypt Authority X1
  • Выпущены Let’s Encrypt Authority X3
  • Выпущены Е1
  • Выпущены R3

Обновление корневых сертификатов в macOS

Примечание: символы ввода пароля не будут отображаться в Терминале. Если терминал не выдаст никаких ошибок, перезагрузите компьютер и очистите кэш Вашего браузера. Проблема должна быть устранена.

Этот пост написан читателем в разделе Тусовка, где каждый может разместить статью. Начните по этой ссылке. Лучшие посты появятся на iPhones. Обязательно прочитайте инструкцию, она поможет.

Как отмечалось в одной из прошлых статей на iPhones. ru, некоторые старые macOS устройства перестали поддерживать SSL сертификаты, выпущенные организацией Let’s Encrypt. Связано это с конфликтом корневых сертификатов, которые ответственные за выпуск SSL сертификатов для веб-сайтов. Один из корневых сертификатов партнера Let’s Encrypt прекратил действовать 30 сентября 2021 года. В связи с этим могут наблюдаться проблемы.

  • инструкции,
  • это полезно

IOS (iPhone и iPad с ОС до 10 версии)

Устройства с версиями ОС Android до 7. 1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

При перепубликации статьи установка активной индексируемой
гиперссылки на источник — сайт обязательна!

Запрос нового сертификата

  • Откройте Диспетчер сертификатов.
  • Откройте папку Личный.
  • Меню Действие выберите пункт Все задачи и Восстановить сертификат.
  • Следуйте указаниям мастера.
  • Сертификат службы получить нельзя.
  • Чтобы получить сертификат стандарта цифровой подписи (DSS) от центра сертификации, в окне мастера запросов сертификатов следует выбрать шаблон сертификата Только подпись пользователя.

Восстановление сертификата

  • Откройте Диспетчер сертификатов.
  • Выберите сертификат, который следует восстановить.
  • Меню Действие выберите пункт Все задачи и выполните одно из следующих действий:
    Нажмите кнопку Обновить сертификат новым ключом.Наведите указатель мыши на пункт Дополнительные операции и выберите пункт Обновить сертификат тем самым ключом.
  • Нажмите кнопку Обновить сертификат новым ключом.
  • Наведите указатель мыши на пункт Дополнительные операции и выберите пункт Обновить сертификат тем самым ключом.
  • Завершите работу мастера, чтобы восстановить сертификат.

Итоги

30 сентября после окончания срока действия сертификата DST Root CA X3 часть пользователей старых устройств столкнутся с тем, что не смогут корректно открывать сайты, использующие сертификаты Let’s Encrypt. Я бы выделил в первую очередь пользователей старых устройств Apple, для которых нет возможности обновиться хотя бы на iOS 10. Кроме того, под раздачу могут попасть различные устройства IoT, старые телевизоры и подобные им устройства, для которых не существует обновлений с новыми корневыми сертификатами.

В то же время, для администраторов серверов с не очень современным софтом, которые могут взаимодействовать с сервисами, использующими сертификаты Let’s Encrypt, еще есть несколько дней на то, чтобы всё проверить и подготовиться к часу X.

Update: Добавил важное дополнение про необходимость проверки всех используемых контейнеров

Update3: Еще один метод решения проблемы для старых OpenSSL, процедура по добавлению сертификата ISRG Root X1 в доверенные в Windows для тех, кто еще не разобрался

Оцените статью
Master Hi-technology
Добавить комментарий