Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы? Техника
Содержание
  1. Обновление сертификатов
  2. Получение актуальных сертификатов
  3. Установка/обновление корневых сертификатов
  4. Что делать, если сайт не открывается на старом компьютере или телефоне?
  5. Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?
  6. Ручное обновление корневых сертификатов
  7. Установка корневого сертификата в ОС Windows, iOS, Linux, Android
  8. Обновление всех сертификатов безопасности на старых версиях Windows
  9. Быстрый и простой способ обновления сертификатов Windows
  10. Как еще можно открывать сайты на старых компьютерах и смартфонах?
  11. ОС Ubuntu 16
  12. ОС Centos 7
  13. Windows 7
  14. Что делать?
  15. Установить браузер  Firefox
  16. Удалить настройки HSTS для Яндекс браузера, Edge, Opera, Амиго
  17. Как очистить или отключить HSTS в Firefox
  18. Автоматический метод отключения HSTS в Mozilla
  19. Windows 7
  20. IOS (iPhone и iPad с ОС до 10 версии)
  21. Android
  22. Установите обновления для вашей системы
  23. Установка игнорирования ошибки сертификатов может устранить проблемы с часами
  24. Установите правильное системное время для исправления ошибки с отставанием часов в Я.
  25. Очистите браузерные куки и кэш в Яндекс. Браузер
  26. Замените батарею CMOS
  27. Как решить ошибку – еще способы
  28. Попробуйте другой браузер
  29. Что случилось?
  30. Как можно проверить проблему и что делать бесполезно
  31. Установка обновлений на Windows 7
  32. Установка сертификата на Windows 7
  33. Переходим на новую операционную систему
  34. Установка сертификата на мобильных устройствах
  35. iOS (iPhone и iPad с ОС до 10 версии)
  36. Android (ОС Android до 7
  37. Немного теории и истории
  38. Что произойдет 30 сентября?
  39. Что со всем этим делать?
  40. На стороне клиента
  41. Linux
  42. Windows
  43. На стороне сервера
  44. Импорт сертификата и закрытого ключа
  45. Экспорт сертификата и закрытого ключа
  46. DST Root CA X3 Expiration – Fix
  47. DST Root CA X3 expired
  48. Why did not Windows update ROOT CA?
  49. Корневые сертификаты
  50. Промежуточные сертификаты
  51. Промежуточные сертификаты
  52. Корневые сертификаты
  53. Сертификат подписания ответов OCSP
  54. Прозрачность сертификата
  55. The Problem
  56. The Fix
  57. HTTPS Scanning/Filtering Firewall Fix (Sophos UTM as example)
  58. Немного теории и истории
  59. Что произойдет 30 сентября?
  60. Как обновить корневые Сертификаты в Windows 7?
  61. Где скачать сертификат DST Root CA x3?
  62. Как импортировать сертификат в Windows 7?
  63. Как обновить корневые Сертификаты в Windows 7?
  64. Где скачать сертификат DST Root CA x3?
  65. Как импортировать сертификат в Windows 7?
  66. Как обновить корневые Сертификаты в Windows 7?
  67. Где скачать сертификат DST Root CA x3?
  68. Как импортировать сертификат в Windows 7?

Обновление сертификатов

Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.

Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.

Получение актуальных сертификатов

Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.

Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).

Открываем командную строку от администратора и вводим команду:

certutil.exe -generateSSTFromWU C:\CA\roots.sst

* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
* если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).

В папке C:\CA мы должны увидеть файл roots.sst.

Установка/обновление корневых сертификатов

Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.

Открываем командную строку от администратора и вводим команду:

C:\CA\rootsupd.exe /c /t:C:\CA

* где C:\CA — папка, в которую мы перенесли корневые сертификаты.

В появившемся окне Roots Update:

Запрос на перетирание файла roots.sst

… выбираем No, чтобы не переписывать наш файл roots.sst.

В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:

C:\CA\updroots.exe C:\CA\roots.sst

Готово. 

Дмитрий Моск — частный мастер

Была ли полезна вам эта инструкция?

Да            Нет

Что делать, если сайт не открывается на старом компьютере или телефоне?

Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно  далеко не каждому.

Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.

Дополнительно:  Скачать драйвера для texas instruments usb root hub скачать драйвер windows 7

К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.

Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.

Не совсем по теме

К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% — Windows 7 и 20-30% — Windows 10. Иногда встречаются Windows 8 и Windows 8.1, а вот Mac и Linux — реально единицы.

[свернуть]

Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?

К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.

Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.

Ручное обновление корневых сертификатов

Итак, при попытке соединения с сервером по шифрованным протоколам SSL/TLS (то есть, по протоколу HTTPS) может возникать ошибка:

SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.

Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:

  • Android 7.1.1 и старше;
  • Mozilla Firefox до 50.0;
  • MacOS 10.12.0 и старше;
  • Windows XP (включая Service Pack 3);
  • iOS-устройств до версии iOS 10;
  • OpenSSL 1.0.2 и ниже;
  • Ubuntu до версии 16.04;
  • Debian 8 и старше.

Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.

Установка корневого сертификата в ОС Windows, iOS, Linux, Android

Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.

Чтобы установить новый корневой сертификат, надо скачать на устройство файл сертификата и импортировать его в список доверенных. В ОС Windows достаточно дважды щелкнуть на файле сертификата, чтобы просмотреть сведения о нем и получить возможность установить сертификат нажатием на соответствую кнопку.

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.

Дополнительно:  Лучшие способы исправить синий экран смерти

В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».

В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.

Что касается ОС Android до 7.1.1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.

Обновление всех сертификатов безопасности на старых версиях Windows

Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.

В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.

Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.

Быстрый и простой способ обновления сертификатов Windows

Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.

Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.

Итак, чтобы обновить сертификаты безопасности на старом устройстве с Windows XP,  Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и др., надо скачать и запустить последовательно на выполнение два файла:

  • rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
  • rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.

Списки сертификатов получены с официального сайта Microsoft 1.10.2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.

Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.

Как еще можно открывать сайты на старых компьютерах и смартфонах?

В отличие от других браузеров, Mozilla Firefox хранит сертификаты в собственном хранилище, не используя для этого хранилище операционной системы. Поэтому на старых устройствах, особенно на смартфонах с Android 5.0 и старше, Let’s Encrypt рекомендует установить браузер Firefox. Что касается Windows XP, то актуальная версия Firefox не поддерживает эту систему, поэтому стоит попробовать скачать и установить более старую версию этого браузера.

Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.

Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!

ОС Ubuntu 16

Скачайте сертификат:

cd /usr/share/ca-certificates
mkdir letsencrypt
cd letsencrypt
wget "https://letsencrypt.org/certs/isrgrootx1.pem"

Пропишите новые сертификаты в конфигурационном файле:

echo "letsencrypt/isrgrootx1.pem" >> /etc/ca-certificates.conf

Обновите сертификаты:

update-ca-certificates

После выполнения команды должно вывести информацию об успешной установки трех новых сертификатов:

Updating certificates in /etc/ssl/certs...
3 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.

Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-certificates.crt

Дополнительно:  Не удается войти в учетную запись Windows 10: как исправить и что делать

ОС Centos 7

Установите программу для работы с сертификатами:

yum install ca-certificates
update-ca-trust force-enable

Установите сертификаты:

wget "https://letsencrypt.org/certs/isrgrootx1.pem" -O"/etc/pki/ca-trust/source/anchors/lets-encrypt-isrgrootx1.pem​"

Соберите сертификаты:

update-ca-trust extract

Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-bundle.crt

Windows 7

1. Скачайте сертификат с официального сайта https://letsencrypt.org/certs/isrgrootx1.pem (зеркало https://blog.bayrell.org/wp-content/uploads/2021/10/isrgrootx1.zip)

Контрольные суммы сертификата:

MD5: 118ecd744d864b32ffdb48b2e29f1d7f
SHA1: 4de9627fe9ace4acce27eaa1a0837cd3db55704b
SHA256: 22b557a27055b33606b6559f37703928d3e4ad79f110b407d04986e1843543d1

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

2. Перейдите на вкладку chrome://settings/

3.Откройте пункт Конфиденциальность и Безопасность и выберите раздел безопасность

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

4. Откройте пункт Настроить сертификаты

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

5. Выберите пункт Доверенные корневые центры сертификации

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

6. Нажмите на кнопку Импорт

7. Нажмите обзор и выберите загруженный файл.

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

8. В выпадающем списке нужно выбрать все файлы

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

Нажмите далее

8. Убедитесь что установка идет в Доверенные корневые центры сертификации.

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

Нажмите далее

9. Нажмите готово

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

10. В окне предупреждения безопасности нужно ответить да

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

11. Импорт успешно завершен

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

12. Перезагрузите компьютер.

Что делать?

Установить браузер  Firefox

На некоторых устройствах Android могут возникать проблемы, поэтому Let’s Encrypt рекомендует пользователям Android (Lollipop) 5.0 установить браузер Firefox: «Для встроенного браузера телефона Android список доверенных корневых сертификатов поступает из операционной системы, которая на этих старых телефонах устарела. Однако Firefox в настоящее время является уникальным среди браузеров — он поставляется со своим собственным списком доверенных корневых сертификатов».

Удалить настройки HSTS для Яндекс браузера, Edge, Opera, Амиго

Большинство браузеров построены на движке Chromium, среди них можно выделить:

  • Microsoft Edge
  • Яндекс браузер
  • Opera
  • Амиго

Так как у них движок такой же .как и у Google Chrome, то к ним будет применен и актуален такой же метод, что мы делали выше, а именно через удаление домена на специальной странице:

chrome://net-internals/#hsts

Перезапустить браузер

Как очистить или отключить HSTS в Firefox

По сравнению с Chrome, Firefox имеет несколько способов очистки или отключения настроек. Для начала автоматический метод.

Автоматический метод отключения HSTS в Mozilla

  1. Откройте Firefox и убедитесь, что все открытые вкладки или всплывающие окна закрыты.
  2. Нажмите Ctrl + Shift + H (или Cmd + Shift + H на Mac), чтобы открыть меню библиотеки .
  3. Найдите сайт, для которого вы хотите удалить настройки HSTS. Вы можете упростить для себя, используя панель поиска в верхнем правом углу.
  4. Как только вам удастся найти веб-сайт, для которого вы пытаетесь очистить настройки HSTS, щелкните по нему правой кнопкой мыши и выберите  Забыть об этом сайте . Это очистит настройки HSTS и другие кэшированные данные для этого конкретного домена.
  5. Перезапустите Firefox и посмотрите, была ли проблема решена. Если это была проблема HSTS, то теперь вы сможете нормально просматривать веб-сайт и Firefox не будет производить принудительный переброс http на https.

Ручной метод для Firefox

Данный метод можно еще назвать методом очистки HSTS путем очистки настроек сайта.

  • Откройте Firefox, нажмите на значок «Библиотека» и выберите «Журнал«
  • Далее выберите пункт «Удалить историю»
  • В окне «Удаление всей истории» установите в раскрывающемся меню «Диапазон времени» значение «Все». Затем разверните меню «Данные» и снимите все флажки, кроме «Настройки сайта»  и нажмите «Удалить сейчас», чтобы очистить все настройки сайта, включая настройки HSTS . Далее перезагрузите Firefox и посмотрите, была ли проблема решена при следующем запуске.

Windows 7

Первый вариант, скачать файл сертификата, после скачивания запустить его (двойной щелчок мыши) и нажать «Установить».

Второй вариант, в Windows установить корневой сертификат ISRG Root X1 можно запустив оснастку «Сертификаты» командой:

mmc /i

и импортировав в корневые сертификаты учётной записи компьютера файл сертификата.

IOS (iPhone и iPad с ОС до 10 версии)

  1. Скачайте файл сертификата ISRG Root X1 на устройство.
  2. В Настройки» -> «Основные» -> «Доверие сертификатов» включите «Доверять корневым сертификатам полностью».

Android

Устройства с версиями ОС Android до 7.1.1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако, устройства и операционные системы, не получающие обновления цепочки сертификатов, могут не иметь его в списке доверенных и столкнутся с ошибками SSL соединения. Список такого ПО и операционных систем:

  • Android до версии 7.1.1;
  • Mozilla Firefox до 50.0;
  • MacOS 10.12.0 и старше;
  • Windows XP (с Service Pack 3);
  • iOS-устройств до версии iOS 10;
  • OpenSSL 1.0.2 и ниже;
  • Ubuntu до версий 16.04;
  • Debian 8 и старше.

Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

https://tendence.ru/news/oshibka-ustanovki-ssl-soedineniya-s-sertifikatom-let-s-encrypt

https://yandex.ru/news/instory/Milliony_ustrojstv_mogut_lishitsya_seti_iz-zaistecheniya_sertifikata_shifrovaniya—171e0ed8675069305db752d44dce774e

Срок действия корневого сертификата Let’s Encrypt истек. Миллионы устройств останутся без интернета

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

Установите обновления для вашей системы

Если вы пользуетесь ОС Виндовс 7, и проблема «Ваши часы отстают» на вашем Яндекс.Браузер наблюдается лишь в последнее время, рекомендуем установить на ваш ПК обновление KB3004394 для вашей операционной системы. Имеется отдельное обновление для 64 и 32-битной ОС Виндовс, установите соответствующее обновление для своей версии ОС:

  • Версия для 64-битной Виндовс 7;
  • Версия для 32-битной Виндовс 7.

Запрос на сохранение обновления

Если вы не знаете, какой версии ваша ОС, нажмите на сочетание кнопок Win+Pause, и изучите представленную информацию.

Установка игнорирования ошибки сертификатов может устранить проблемы с часами

Также временным решением проблемы с отставанием часов на Яндекс.Браузер может стать следующее:

  1. Наведите курсор на ваш Яндекс. Браузер на рабочем столе;
  2. Щёлкните правой клавишей мышки, в открывшемся выберите «Свойства»;
  3. В строке «Объект» после browser.exe поставьте пробел, а после него строку -ignore-certificate-errors Команда игнорирования ошибок сертификата
  4. Сохраните изменения, нажав на «Применить» и «Ок»;
  5. Запустите ваш браузер и перейдите на нужный сайт. Ошибка может исчезнуть.

Установите правильное системное время для исправления ошибки с отставанием часов в Я.

Также рекомендуем убедиться, что системное время на вашем ПК отображается корректно. Для этого выполните следующее:

  1. Наведите курсор на дату и время на панели задач и щёлкните левой клавишей мышки; Данные времени в Виндовс
  2. В открывшемся меню выберите «Параметры даты и времени»;Опция "Параметры даты и времени"
  3. Если у Вас Виндовс 10, установите для параметра «Установить время автоматически», а также для расположенного рядом параметра «Автоматически устанавливать часовой пояс» значение «Вкл». Данные времени в Виндовс

Если у вас автоматическая установка времени имеется по умолчанию, попробуйте отключить её, и установить правильное время и дату вручную. После этого проверьте ранее дисфункциональный сайт. Если он так же не доступен, верните автоматическую установку времени и следуйте дальнейшим советам.

Очистите браузерные куки и кэш в Яндекс. Браузер

Временные файлы (файлы куков и кэшированные изображения), в которых хранятся устаревшие или неверные данные даты и времени, иногда являются причиной ошибки «Ваши часы отстают» в Яндекс Браузере. Из этих файлов ваш браузер может получать некорректную информацию о времени и дате, потому их необходимо удалить. Это вынудит ваш браузер повторно получить уже верную информацию о дате и времени с вашего ПК.

Для удаления кэша и куков с Яндекс Браузера выполните следующее:

  1. Запустите ваш Яндекс.Браузер;
  2. Нажмите на кнопку с тремя горизонтальными линиями справа сверху;
  3. Кликните на раздел «Настройки»;Раздел "Настройки" в Яндекс
  4. На панели слева выберите раздел «Системные»;
  5. Кликните на «Очистить историю»;Надпись "Очистить историю"
  6. Установите галочки на опциях «Файлы, сохранённые в кэше» и на «Файлы cookie…”, после чего нажмите внизу на «Очистить».
    Очистка кэша в Яндексе
    Очистите некорректные данные веб-навигатора

После этого закройте ваш Яндекс.Браузер и перезагрузите компьютер.

Это может помочь: Как исправить «HTML5 Video not properly encoded» в Яндекс.Браузер.

Замените батарею CMOS

Если ваш веб-навигатор продолжает фиксировать ошибку времени, то пришло время заменить батарею CMOS на вашем ПК.

Батарея CMOS — это небольшая батарея, которая находится на материнской плате вашего ПК и отвечает за сохранение времени, даты и других данных о конфигураций системы. Вы когда-нибудь задумывались, почему дата и время вашего компьютера остаются точными, даже когда вы отключаете его или извлекаете из него аккумулятор? Да, за это отвечает батарея CMOS. Если данная батарея неисправна, то ваш ПК и ряд программ будут встречаться с той или иной ошибкой, включая и сообщение «Ваши часы отстают». Для замены батареи CMOS требуются некоторые инструменты и технические знания. Рекомендуется отнести свой компьютер к профессиональному компьютерному технику или в сервисный центр, где вам заменят элемент на новый.

Как решить ошибку – еще способы

Кроме перечисленных нами инструментов также рекомендуем:

  • Напишите в поддержку сайта, на котором наблюдается ошибка. Возможно администрации сайта понадобится продлить сертификат вручную;
  • Подождите какое-то время. Возможно, появление ошибки «Ваши часы отстают» связано с временным сбоем сервера. Подождите пару часов, а потом попробуйте перейти на интересующий вас веб-сайт вновь.

Попробуйте другой браузер

Также довольно эффективным решением, позволяющим устранить ошибку «Ваши часы отстают», станет использование для работы в сети браузера Мозилла. Последний имеет свою личную систему сертификатов, и может эффективно справляться с ошибкой «Ваши часы отстают». Установите браузер Mozilla Firefox, и проблема будет эффективно решена.

Браузер Мозилла

Что случилось?

Как оказалось, у одного из крупных поставщиков сертификатов Let`s Encrypt, 30 сентября в 14.01 по Гринвичу (17.01 мск) 2021 года истек корневой сертификат безопасности «IdentTrust DST Root CA X3».

Let’s Encrypt – некоммерческая организация по выпуску бесплатных цифровых сертификатов для шифрования соединений между устройствами и интернетом. Основная цель сертификатов – это защита данных от перехвата во время передачи данных.

Этот сертификат использовался на миллионах устройств, выпущенных до 2015 года. И теперь при попытке зайти на некоторые сайты браузер стал выдавать ошибку:

При попытке зайти на сайты выходит ошибка

В основном с этим столкнулись пользователи старых систем, например, такие как: Windows XP, Windows 7, iOS-устройства (до версии iOS 10), Android (до версии 7.1.1), MAC (до версии 10.12.0), консоли старых поколений (PlayStation, Xbox), Ubuntu (до версии 16.04) и т.д.

Далее мы разберемся, как нам победить эту ошибку, а вы уже сами решите какой из способов вам подходит.

Как можно проверить проблему и что делать бесполезно

Но прежде чем продолжить дальше, я расскажу, что я пробовал сделать. Это будет полезно чтобы убедиться, что у вас проблема именно с сертификатом.

  1. Попробуйте сменить дату на компьютере, например, на 29.10.21 год. Браузер, скорее всего будет ругаться на некорректную дату, но на сайты пускать начнет.
  2. Перезагрузка роутера, компьютера.
  3. Отключение проверки HTTPS.
  4. Переустановка браузера и очистка SSL кэша.
  5. Отключение всех антивирусных программ.

Переходим к решению проблемы.

Установка обновлений на Windows 7

Установка обновлений на Windows 7

Чтобы убрать ошибку на Windows 7, будет достаточно установить всего два обновления системы. В редких случаях может потребоваться третье:

  1. Сначала необходимо установить обновление «KB3020369» (Скачать x64 / Скачать x86),
  2. Далее устанавливаем «KB3125574» (Скачать x64 / Скачать x86),
  3. Если два обновления выше не помогли, устанавливаем третье «KB3004394» (Скачать x64 / Скачать x86).

Все обновления вы можете скачать с официального сайта Microsoft, но с «KB3125574» у меня постоянно возникает проблема — не получается корректно скачать. Поэтому я решил выгрузить их и сохранить у себя, чтобы использовать, когда потребуются.

Кроме этих обновлений, вы можете воспользоваться программой «Update_Root_Certificates_v1.6», которая автоматически обновит нужные сертификаты.

Установка сертификата на Windows 7

Если вам не нравится вариант с установкой обновлений, тогда просто скачайте новый сертификат безопасности и установите его. В большинстве случаев это помогает.

  1. Скачать обновленный сертификат «ISRG Root X1»,
  2. Запустить установку,
  3. Нажимаем кнопку «Установить сертификат»,
  4. Расположение хранилища выбрать «Локальный компьютер»,
  5. Выберите «Поместить все сертификаты в следующее хранилище»,
  6. Выберите пункт «Доверенные корневые центры сертификации»,
  7. Заканчиваем установку нажатием кнопки «ОК» и сообщением об успешном импорте.

Установка сертификата на Windows 7

Далее желательно перезагрузить компьютер и проверить сайты, которые не открывались.

Переходим на новую операционную систему

Самым трудоёмким и оптимальным вариантом в 2021-2022 год будет переход на Windows 10 (11), так как Windows 7 уже давно не поддерживается и считается устаревшей, а многие программы так и так требуют «десятку».

Переходим на новую операционную систему

Я же лично считаю, что Windows 10 сильно преобразилась за последние годы и рекомендую к установке. Особенно радует встроенный антивирус, которого более чем хватает при использовании в домашних условиях.

Установка сертификата на мобильных устройствах

Что же касается мобильных устройств, то с ними всё гораздо сложнее, в отличии от ПК. Давайте попробуем разобраться с ними.

iOS (iPhone и iPad с ОС до 10 версии)

Вам нужно скачать файл сертификата «ISRG Root X1» на ваше устройство.

Далее вам нужно будет перейти в настройки установить этот сертификат:

  1. Заходим в «Настройки»,
  2. Переходим в «Основные»,
  3. Смотрим «Профили и управление устройством»,
  4. Выбираем сертификат «ISRG Root X1»,
  5. Нажимаем «Установить».

И в конце, нужно включить следующую настройку:

  1. Заходим опять в «Настройки»,
  2. Переходим в «Основные»,
  3. Находим в разделе «Об этом устройстве» — «Настройки доверия сертификатов»
  4. «Включить полное доверие для корневых сертификатов» включаем доверие для сертификата.

Всё. После этого у вас должно всё заработать, как и было.

Android (ОС Android до 7

С устройствами на Android дела обстоят гораздо лучше. Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Новый сертификат будет действовать до 2024 года, поэтому владельцам «зеленого робота» можно пока спать спокойно и дальше пользоваться своей техникой.

Заключение

К сожалению, для большинства старых мобильных устройств это будет не преодолимая проблема. Придется или смириться с не работающим интернетом, или задумать об обновлении вашего устройства.
Сейчас, новые сертификаты действительны до 2035 года и все устройства, при условии, что они получают обновления, будут работать до этого года.

Всем удачи!

Немного теории и истории

Не углубляясь в детали, пару слов для неспециалистов, почему окончание срока действия сертификата DST Root CA X3 повлияет на сертификаты, выпущенные Let’s Encrypt. У каждой системы, проверяющей сертификат на валидность, есть своё хранилище доверенных корневых сертификатов. Система при проверке будет доверять сертификатам, которые подписаны с использованием закрытого ключа одного из этих корневых сертификатов. Сами корневые сертификаты как правило имеют длительные сроки действия, меняются редко и не используются при формировании сертификатов конечного субъекта (в данном случае, сертификатов для доменных имен), вместо этого инфраструктура открытых ключей, предполагает использование цепочек доверия  — корневые сертификаты применяются для подписания промежуточных сертификатов, а уже с использованием них подписываются сертификаты конечного субъекта (сертификаты для доменов). При этом, для того, чтобы система доверяла конечному сертификату, она должна быть способна проследить всю цепочку от этого сертификата до одного из корневых сертификатов, которым она доверяет.

После появления проекта Let’s Encrypt, его корневой сертификат ISRG Root X1 (как и любой новый корневой сертификат) не мог быстро попасть в хранилища доверенных сертификатов заметного количества систем. При этом для успешного функционирования проекта выданным сертификатам с самого начала должно было доверять максимальное количество систем «из коробки» (без дополнительных действий со стороны пользователей этих систем). В связи с этим, для сертификатов Let’s Encrypt стала использоваться цепочка доверия, ведущая к корневому сертификату DST Root CA X3, который признается большинством систем:

  • Windows >= XP SP3

  • macOS (большинство версий)

  • iOS (большинство версий)

  • Android >= v2.3.6

  • Mozilla Firefox >= v2.0

  • Ubuntu >= precise / 12.04

  • Debian >= squeeze / 6

  • Java 8 >= 8u101

  • Java 7 >= 7u111

  • NSS >= v3.11.9

  • Amazon FireOS (Silk Browser)

  • Cyanogen > v10

  • Jolla Sailfish OS > v1.1.2.16

  • Kindle > v3.4.1

  • Blackberry >= 10.3.3

  • PS4 game console with firmware >= 5.00

К настоящему моменту корневой сертификат ISRG Root X1 существует уже более 5 лет и за это время попал в доверенные в большинстве современных систем, ему доверяют:

  • Windows >= XP SP3 (при условии, что производилось автоматическое обновление корневых сертификатов)

  • macOS >= 10.12.1

  • iOS >= 10

  • Android >= 7.1.1

  • Mozilla Firefox >= 50.0

  • Ubuntu >= xenial / 16.04 (с установленными обновлениями)

  • Debian >= jessie / 8 (с установленными обновлениями)

  • Java 8 >= 8u141

  • Java 7 >= 7u151

  • NSS >= 3.26

Для сертификатов Let’s Encrypt по умолчанию в данный момент предлагается такая цепочка доверия:

IdenTrust’s DST Root CA X3 -> ISRG Root X1 -> Let’s Encrypt R3 -> Конечный сертификат пользователя

Что произойдет 30 сентября?

Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?

Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let’s encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let’s Encrypt). За исключением Android >= v2.3.6, т.к. Android не учитывает срок действия своих доверенных корневых сертификатов.

Проблема с доверием возникнет также у систем, использующих OpenSSL версии меньше 1.1.0. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1.0.x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1.0.x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.

Что со всем этим делать?

На стороне клиента

Linux

Для того, чтобы проверить, как поведёт себя ваша система при обращении к сайтам, использующим сертификаты Let’s Encrypt, после 30 сентября, можно воспользоваться утилитой faketime. В Debian и Ubuntu она доступна в пакете faketime.

faketime -f '@2021-10-01 00:00:00' curl  https://letsencrypt.org/

Если всё в порядке, curl вернёт содержимое страницы, если же нет — выдаст сообщение об ошибке:

curl: (60) server certificate verification failed.

В этом случае нужно убедиться, что:

  1. Ваша система доверяет ISRG Root X1

  2. Вы не пользуетесь устаревшей версией OpenSSL

Проверка доверия к ISRG Root X1

Например, Ubuntu 16.04 xenial и Debian 8 jessie доверяют ISRG Root X1, но при этом поставляются с OpenSSL 1.0.x, поэтому проблема их может коснуться.

Чтобы проверить наличие сертификата ISRG Root X1 в числе доверенных:

в Debian/Ubuntu: 

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "ISRG Root X1"

в CentOS:

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"

В выводе команды в обоих случаях должно присутствовать:

subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1

Если такой строчки нет, то нужно добавить ISRG Root X1 в доверенные. В Debian/Ubuntu:

curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | sudo tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt

добавить в файл /etc/ca-certificates.conf строчку:

mozilla/ISRG_Root_X1.crt

и выполнить комнаду

sudo update-ca-certificates

Проверка версии OpenSSL

Если система доверяет ISRG Root X1, нужно проверить версию OpenSSL

openssl version

В выводе должна быть версия 1.1.0 или новее.

Если используется OpenSSL 1.0.x, то достаточным решением проблемы будет удалить из доверенных сертификат DST Root CA X3 (это решение может не сработать для openssl версий &lt;1.0.1p и &lt;1.0.2d). Это можно сделать, не дожидаясь 30 сентября.

В Debian/Ubuntu:

В файле /etc/ca-certificates.conf нужно найти строчку:

mozilla/DST_Root_CA_X3.crt

и поставить в начало сроки символ «!»:

!mozilla/DST_Root_CA_X3.crt

Далее, необходимо выполнить команду:

sudo update-ca-certificates

В CentOS

Выполнить команды:

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

sudo update-ca-trust

Локальное продление срока действия сертификата DST Root CA X3

Для тех случаев, когда используется совсем старый openssl (версии меньше 1.0.1p и 1.0.2d, но новее 0.9.8m), или по иной причине не срабатывает метод с изъятием из доверенных сертификата DST Root CA X3, можно воспользоваться еще одним методом, предложенным в статье Scott’а Helme. Метод основан на том, что OpenSSL, начиная с версии 0.9.8m, не проверяет сигнатуру сертификатов, хранящихся в локальном защищенном хранилище. Таким образом, можно изменить время действия сертификата в защищенном хранилище, при этом модифицированный сертификат будет по-прежнему восприниматься OpenSSL как валидный. Для того, чтобы продлить для OpenSSL на системе срок действия сертификата DST Root CA X3 еще на три года можно выполнить следующие команды:

Debian/Ubuntu:

sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/DST_Root_CA_X3.pem

sudo update-ca-certificates

CentOS:

sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/ca-bundle.crt

sudo update-ca-trust

Не забудьте проверить так же все ваши контейнеры!!! У них свои хранилища корневых сертификатов и могут использоваться другие версии openssl

Windows

Для пользователей, у которых не подключены автоматические обновления корневых сертификатов, можно добавить сертификат ISRG Root X1 вручную. Для этого нужно скачать сертификат с сайта LetsEncrypt по ссылке https://letsencrypt.org/certs/isrgrootx1.der.

Открыть скачанный файл, в открывшемся окне выбрать «Установить сертификат…»:

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

В мастере импорта сертификатов выбрать «Локальный компьютер»:

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

Выбрать «Поместить все сертификаты в следующее хранилище», в диалоге выбора хранилища, открывающемся по кнопке «Обзор…», выбрать «Доверенные корневые центры сертификации»:

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

На последнем шаге мастера нажать кнопку «Готово».

После выполнения этой последовательности шагов, сертификат должен появиться в защищенном хранилище. Чтобы проверить это, нужно нажать комбинацию клавиш «Win+R», откроется диалог «Выполнить», в котором нужно ввести certmgr.msc

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

В открывшемся окне в подразделе «Сертификаты» раздела «Доверенные корневые центры сертификации» в списке должен появиться сертификат ISRG Root X1:

Обновления DST Root Win7 и DST Root CA X3 с истекшим сроком действия доступны для Windows7. Какое обновление необходимо установить? Существуют ли какие-либо альтернативы?

На стороне сервера

На стороне сервера от вас мало что зависит. Если вы используете сертификаты от Let’s Encrypt на своем сервере, то должны понимать, что после 30 сентября 2021 14:01:15 GMT к вашему серверу смогут без проблем подключиться только клиенты, доверяющие ISRG Root X1 (см. список выше), а также использующие Android &gt;= v2.3.6. При этом, если клиенты используют OpenSSL, то они должны пользоваться версией OpenSSL &gt;= 1.1.0.

При этом, у вас есть выбор — ценой отказа от поддержки старых Android (оставив поддержку Android &gt;= 7.1.1), вы можете сохранить поддержку OpenSSL 1.0.x без манипуляций на стороне клиента.

Для этого нужно использовать предлагаемую Let’s Encrypt альтернативную цепочку доверия для своих сертификатов. В этой цепочке исключен DST Root CA X3 и выглядит она так:

ISRG Root X1 -&gt; Let’s Encrypt R3 -&gt; Конечный сертификат пользователя

Для переключения на альтернативную цепочку нужно воспользоваться документацией вашего ACME-клиента. В частности, в certbot за возможность выбора альтернативной цепочки отвечает параметр  —preferred-chain.

Импорт сертификата и закрытого ключа

Если вам кто-то прислал сертификат или вы передали его с одного компьютера на другой, сертификат и закрытый ключ необходимо импортировать, прежде чем пользоваться ими. Импорт сертификата предполагает его размещение в соответствующую папку сертификатов.

  1. Откройте Диспетчер сертификатов.
  2. Выберите папку, в которую следует импортировать сертификат. В меню Действие выберите пункт Все задачи и выберите команду .
  3. Нажмите кнопку и следуйте инструкциям.

Примечание: Если поиск сертификата мастером импорта сертификатов выполняется с помощью кнопки Обзор, заметьте, что в диалоговом окне Открыть умолчанию отображаются только сертификаты X.509. Если нужно импортировать другой тип сертификата, выберите тип в диалоговом окне Открыть.

Экспорт сертификата и закрытого ключа

Чтобы создать резервную копию сертификата или воспользоваться им на другом компьютере, сертификат сначала следует экспортировать.

Экспорт сертификата предполагает преобразование сертификата в файл, который затем можно передать с одного компьютера на другой или поместить в безопасное место. Рекомендуется экспортировать сертификаты на съемный носитель, например диск или USB флеш-память.

  1. Откройте Диспетчер сертификатов.
  2. Щелкните правой кнопкой мыши сертификат, который следует экспортировать, выберите Все задачи и выберите команду Экспорт.
  3. В мастере экспорта сертификатов нажмите кнопку .
  4. Если сертификат использоваться на другом компьютере, щелкните , экспортировать закрытый ключ (если нет, выберите , не экспортировать закрытый ключ) и нажмите кнопку . (Этот параметр отображается, только если разрешен экспорт закрытого ключа и вы к нему доступ).
  5. Выберите нужный формат и нажмите кнопку .

    Примечание: Выбор нужного формата будет зависеть от того, как будет использоваться сертификат. Например, для сертификата с закрытым ключом следует выбирать формат обмена личными сведениями. Если нужно переместить несколько сертификатов с одного компьютера на другой одним файлом, следует выбирать стандарт Cryptographic Message Syntax. Если сертификат будет использоваться в нескольких операционных системах, следует выбирать формат в DER-кодировке X.509.

  6. Чтобы экспортировать закрытый ключ, введите пароль для шифрования ключа, подтвердите и нажмите кнопку.
  7. Будет создан файл, в котором хранится сертификат. Введите имя файла и его расположение (полный путь) или нажмите кнопку , чтобы перейти в нужное место, и введите имя файла.
  8. Нажмите кнопку .


DST Root CA X3 Expiration – Fix

So how did I fix this? Well, I tried to reproduce the issue on my Chrome browser on Windows, but it worked fine over there. Then I requested my client to check the website on the Firefox browser from the same machine, and to my surprise, the website loaded without an issue. Finally, I took remote desktop access to my client’s PC to check the certificate details by clicking ‘Not secure’ in the address bar and then Certificate &gt; Details. Well, this revealed more information about the Root certificate and its status.

DST root ca x3 expired

DST Root CA X3 expired

Ultimately, the end of the DST Root CA X3 certificate was on Sep 30th, 2021, and that caused many devices to invalidate the certificates issued by the authority.

Ok. What’s ROOT certificate?

All the certificates that are issued for HTTPS on the internet are issued by Certificate Authority (CA), an entity that’s trusted by devices and operating systems.

Why did not Windows update ROOT CA?

Some of these certification authorities are built into the browsers and operating system certificate stores and they are supposed to get updated along with OS updates. However, some older devices may not be in the update list and maybe still using the older Root CA which expired on 30th Sep 2021. Also, if the devices using the pirated operating systems, then they may not be eligible to get the latest update.

Nevertheless, you can follow the below steps to fix the issue.

On Windows 7 or 10:

Step 1: Launch Run dialog

Step 2: Type certmgr.msc and hit enter.

Step 3: In the certificate manager window, click on ‘Trusted Root Certification Authorities‘  &gt; Certificates.

Step 4: Lookout for the ‘DST Root CA X3‘ entry and click the delete icon to remove it from the Trusted certification authority store.

Trusted Root Certification Authorities

Step 5: Download the latest CA certificate from this link.

Step 6: Double click on the downloaded file and install it. Remember to choose ‘Place all certificates in the following store‘ and choose ‘Trusted Root Certification Authorities'

Step 7: Close the browser and launch it again.

Step 8: Test the website to ensure everything is working fine. If not, you may need to clear the browser cache and try again.

That’s it, this should fix the issue. But can you ask every visitor to your website to do this? Of course not, and this issue may not happen for the visitor who’s using genuine operating systems or a device that receives updates.

Also, the root certificate expiry didn’t affect the Firefox browser, because the browser has its own certificate store and does not rely on the Windows certificate store. Hence updating the Firefox should suffice.

Finally, here is a stack overflow answer that has suggestions for some of the old devices that may be affected due to this issue.

Корневые сертификаты

Наши корневые сертификаты хранятся в надёжном месте и недоступны онлайн. Мы выпускаем сертификаты для пользователей на основе промежуточных сертификатов из следующего раздела. Для дополнительной совместимости с новым Root X2 с различными корневыми хранилищами, мы также подписали его с Root X1.

  • Активные
    • ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
      • Самоподписанный: der, pem, txt
      • Кросс подписанный DST Root CA X3: der, pem, txt
  • Действующий, с ограничениями
    • ISRG Root X2 (ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
      • Самоподписанный: der, pem, txt
      • Кросс-подписанный ISRG Root X1: der, pem, txt

Мы создали сайты для проверки цепочки сертификатов вплоть до активных корневых.

  • ISRG Root X1
    • Действительный
    • Отозванный
    • Срок действия истёк
  • ISRG Root X2
    • Действительный
    • Отозванный
    • Срок действия истёк

Промежуточные сертификаты

Как правило, сертификаты, выпущенные Let’s Encrypt, создаются на основе “R3”, промежуточного RSA. В настоящее время выпуск сертификатов из “E1”, промежуточного ECDSA-сертификата, возможен только для ключей ECDSA из разрешенных аккаунтов. В будущем выпуск сертификатов из “Е1” будет доступен для всех.

Дополнительные промежуточные сертификаты (“R4” и “E2”) зарезервированы для восстановления после стихийных бедствий, и будут использованы только в том случае, если мы потеряем доступ к нашими основным межуточным сертификатам. Мы больше не используем промежуточные сертификаты X1, X2, X3 и X4.

IdenTrust кросс-подписал наши промежуточные сертификаты RSA для дополнительной совместимости.

  • Активные
  • Действующий, с ограничениями
  • Резервное копирование
  • Неиспользуемые

Промежуточные сертификаты

Каждый из наших промежуточных сертификатов представляет собой одну публичную/частную ключевую пару. Это позволяет всем основным браузерам принимать наши сертификаты с нашим же корневым сертификатом.

Наши промежуточные RSA-сертификаты подписаны ISRG Root X1. На данный момент ISRG Root X1 пользуется широким доверием, но у наших промежуточных RSA по-прежнему кросс-подпись “DST Root CA X3” IdenTrust (теперь он называется “TrustID X3 Root”) для дополнительной клиент-совместимости. Корневой сертификат IdenTrust существует дольше и поэтому лучше совместим со старыми устройствами и операционными системами (например, Windows XP, Android 7). Вы можете загрузить “TrustID X3 Root” из IdenTrust (или, как вариант, вы можете скачать копию у нас).

Кросс-подпись означает, что каждый из наших промежуточных сертификатов имеет два сертификата, представляющих один и тот же ключ подписи. Один подписан DST Root CA X3, другой подписан ISRG Root X1. Самый простой способ отличить их — посмотреть на поле “Issuer” (издатель).

При настройке web-сервера, администратор указывает не только листовые сертификаты, но и список промежуточных сертификатов. Это помогает браузеру проверить, входит ли листовой сертификат в цепочку доверия, ведущую к корневому сертификату. Почти все операторы серверов будут выбирать для обслуживания цепочку, включающую промежуточный сертификат с субъектом “R3” и издателем “ISRG Root X1”. Рекомендуемое клиентское программное обеспечение Let’s Encrypt, Certbot, выполнит эту задачу без затруднений.

Корневые сертификаты

Как и промежуточные сертификаты, корневые сертификаты могут быть кросс-подписаны, часто для увеличения клиентской совместимости. Наш корневой ECDSA-сертификат, ISRG Root X2 был создан осенью 2020 года и является корневым сертификатом для иерархии ECDSA. Он представлен двумя сертификатами: самоподписанным и подписанным ISRG Root X1.

Все сертификаты, подписанные промежуточным ECDSA-сертификатом “E1”, будут иметь цепочку с промежуточным сертификатом, у которого субъект “ISRG Root X2”, а издатель “ISRG Root X1”. Почти все сервера выберут для обслуживания эту цепочку, поскольку она обеспечивает наибольшую совместимость до тех пор, пока ISRG Root X2 не получит широкого доверия.

Сертификат подписания ответов OCSP

Этот сертификат используется для подписания ответов OCSP для промежуточных Центров Сертификации Let’s Encrypt. Таким образом нам не нужно иметь онлайне-доступ к корневому сертификату, чтобы подписать эти ответы. Копия сертификата подписания включена в ответ OCSP для информирования, дополнительно пользователям ничего делать не нужно.

  • ISRG Root OCSP X1 ([Подписанный ISRG Root X1](https://crt. sh/? id=2929281974)): [der](/certs/isrg-root-ocsp-x1. der), [pem](/certs/isrg-root-ocsp-x1. pem), [txt](/certs/isrg-root-ocsp-x1. txt)

У наших новых промежуточных сертификатов нет OCSP URL-адресов (их информация об отзыве вместо этого используется CRL), поэтому мы не выпустили сертификат подписи OCSP от ISRG Root X2.

Прозрачность сертификата

В Let’s Encrypt мы в нацелены на прозрачность в наших процессах и в сертификатах, которые выпускаем. Мы записываем сертификаты в журнал Certificate Transparency сразу, как только выпускаем их. Все наши сертификаты доступны по ссылкам:

  • Выпущены Let’s Encrypt Authority X1
  • Выпущены Let’s Encrypt Authority X3
  • Выпущены Е1
  • Выпущены R3

The Problem

Let’s Encrypt originally used the “DST Root CA X3” certificate to issue Let’s Encrypt certificates. However, as time has passed and the service has been used more, they now use “ISRG Root X1” and “ISRG Root X2” as Root CA’s and “Let’s Encrypt R3” as an intermediate certificate.

Older devices may be using the older Root CA which expired today (September 30th, 2021). Please see https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/ for more information.

The Fix

To fix this issue, you need to add the 2 new Root CAs to your computer or device.

Root CA Certificates (PEM format):

  • ISRG Root X1 (Or ISRG Root X1 DER Format)
  • ISRG Root X2 (Or ISRG Root X2 DER Format)

Intermediate Certificate (PEM format):

  • Let’s Encrypt R3 (Or Let’s Encrypt R3 DER Format)

You can download them by clicking the links above or go to https://letsencrypt.org/certificates/ for more information and to download if you don’t trust the above links.

After downloading and adding these Root CAs and the Intermediate CA to your computer or device, you should have the full certificate chain to validate the Let’s Encrypt certificates. You only need to add the two root certificates. The Let’s Encrypt certificates that are used on websites that you visit and that you might have deployed on your servers should now work without any issues.

If you’re still having issues, you can try deleting the “DST Root CA X3” certificate from your existing Root CAs. Also, you may need to close and reopen any software and/or browsers for it to work with the new certificate.

HTTPS Scanning/Filtering Firewall Fix (Sophos UTM as example)

If you have a firewall that scans HTTPs traffic, you’ll need to add the two root certificates above to the HTTPS Certification authority list.

As an example, to fix this on the Sophos UTM firewall, follow the instructions below:

  1. Download the 3 certificates above.
  2. Log on to your Sophos UTM
  3. Navigate to “Web Protection”, “Filtering Options”, and “HTTPS CAs” tab.
  4. Disable the old “Digital Signature Trust Co. DST Root CA X3” Certificate in the list.
  5. Using the “Upload local CA”, browse to and select 1 of the 3 certificates, then click upload.
  6. Repeat step 5 for each of the 3 certificates listed above.
  7. The issue has been fixed! You should now see all 3 certificates in the “Local verification CAs” list.

The steps should be similar for other firewalls that provide HTTPS Scanning and Filtering.

Немного теории и истории

Не углубляясь в детали, пару слов для неспециалистов, почему окончание срока действия сертификата DST Root CA X3 повлияет на сертификаты, выпущенные Let’s Encrypt. У каждой системы, проверяющей сертификат на валидность, есть своё хранилище доверенных корневых сертификатов. Система при проверке будет доверять сертификатам, которые подписаны с использованием закрытого ключа одного из этих корневых сертификатов. Сами корневые сертификаты как правило имеют длительные сроки действия, меняются редко и не используются при формировании сертификатов конечного субъекта (в данном случае, сертификатов для доменных имен), вместо этого инфраструктура открытых ключей, предполагает использование цепочек доверия  — корневые сертификаты применяются для подписания промежуточных сертификатов, а уже с использованием них подписываются сертификаты конечного субъекта (сертификаты для доменов). При этом, для того, чтобы система доверяла конечному сертификату, она должна быть способна проследить всю цепочку от этого сертификата до одного из корневых сертификатов, которым она доверяет.

После появления проекта Let’s Encrypt, его корневой сертификат ISRG Root X1 (как и любой новый корневой сертификат) не мог быстро попасть в хранилища доверенных сертификатов заметного количества систем. При этом для успешного функционирования проекта выданным сертификатам с самого начала должно было доверять максимальное количество систем «из коробки» (без дополнительных действий со стороны пользователей этих систем). В связи с этим, для сертификатов Let’s Encrypt стала использоваться цепочка доверия, ведущая к корневому сертификату DST Root CA X3, который признается большинством систем:

  • Windows &gt;= XP SP3

  • macOS (большинство версий)

  • iOS (большинство версий)

  • Android &gt;= v2.3.6

  • Mozilla Firefox &gt;= v2.0

  • Ubuntu &gt;= precise / 12.04

  • Debian &gt;= squeeze / 6

  • Java 8 &gt;= 8u101

  • Java 7 &gt;= 7u111

  • NSS &gt;= v3.11.9

  • Amazon FireOS (Silk Browser)

  • Cyanogen &gt; v10

  • Jolla Sailfish OS &gt; v1.1.2.16

  • Kindle &gt; v3.4.1

  • Blackberry &gt;= 10.3.3

  • PS4 game console with firmware &gt;= 5.00

К настоящему моменту корневой сертификат ISRG Root X1 существует уже более 5 лет и за это время попал в доверенные в большинстве современных систем, ему доверяют:

  • Windows &gt;= XP SP3 (при условии, что производилось автоматическое обновление корневых сертификатов)

  • macOS &gt;= 10.12.1

  • iOS &gt;= 10

  • Android &gt;= 7.1.1

  • Mozilla Firefox &gt;= 50.0

  • Ubuntu &gt;= xenial / 16.04 (с установленными обновлениями)

  • Debian &gt;= jessie / 8 (с установленными обновлениями)

  • Java 8 &gt;= 8u141

  • Java 7 &gt;= 7u151

  • NSS &gt;= 3.26

Для сертификатов Let’s Encrypt по умолчанию в данный момент предлагается такая цепочка доверия:

IdenTrust’s DST Root CA X3 -&gt; ISRG Root X1 -&gt; Let’s Encrypt R3 -&gt; Конечный сертификат пользователя

Что произойдет 30 сентября?

Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?

Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let’s encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let’s Encrypt). За исключением Android &gt;= v2.3.6, т.к. Android не учитывает срок действия своих доверенных корневых сертификатов.

Проблема с доверием возникнет также у систем, использующих OpenSSL версии меньше 1.1.0. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1.0.x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1.0.x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.

Как обновить корневые Сертификаты в Windows 7?

Для этого нажмите сочетание кнопок Win +R и введите команду certmgr. msc — OK. В открывшемся центре сертификатов в Windows откройте вкладку «Доверенные корневые центры сертификации/ сертификаты » — клик правой кнопкой мыши — выберите «Все задачи — импорт»

Где скачать сертификат DST Root CA x3?

Для этого нужно скачать сертификат с сайта LetsEncrypt по ссылке https://letsencrypt

Как импортировать сертификат в Windows 7?

Импорт сертификата и закрытого ключа Откройте Диспетчер сертификатов . Выберите папку, в которую следует импортировать сертификат . В меню Действие выберите пункт Все задачи и выберите команду Импорт . Нажмите кнопку Далее и следуйте инструкциям. 12 мая 2021 г

Как обновить корневые Сертификаты в Windows 7?

Для этого нажмите сочетание кнопок Win +R и введите команду certmgr. msc — OK. В открывшемся центре сертификатов в Windows откройте вкладку «Доверенные корневые центры сертификации/ сертификаты » — клик правой кнопкой мыши — выберите «Все задачи — импорт»

Где скачать сертификат DST Root CA x3?

Для этого нужно скачать сертификат с сайта LetsEncrypt по ссылке https://letsencrypt

Как импортировать сертификат в Windows 7?

Импорт сертификата и закрытого ключа Откройте Диспетчер сертификатов . Выберите папку, в которую следует импортировать сертификат . В меню Действие выберите пункт Все задачи и выберите команду Импорт . Нажмите кнопку Далее и следуйте инструкциям. 12 мая 2021 г

Как обновить корневые Сертификаты в Windows 7?

Для этого нажмите сочетание кнопок Win +R и введите команду certmgr. msc — OK. В открывшемся центре сертификатов в Windows откройте вкладку «Доверенные корневые центры сертификации/ сертификаты » — клик правой кнопкой мыши — выберите «Все задачи — импорт»

Где скачать сертификат DST Root CA x3?

Для этого нужно скачать сертификат с сайта LetsEncrypt по ссылке https://letsencrypt

Как импортировать сертификат в Windows 7?

Импорт сертификата и закрытого ключа Откройте Диспетчер сертификатов . Выберите папку, в которую следует импортировать сертификат . В меню Действие выберите пункт Все задачи и выберите команду Импорт . Нажмите кнопку Далее и следуйте инструкциям. 12 мая 2021 г

Оцените статью
Master Hi-technology
Добавить комментарий