30 вересня 2021 сайти з Let’s Encrypt сертифікатами перестали відкриватися у деяких користувачів. Це сталося через те, що закінчився термін дії кореневого сертифіката IdenTrust DST Root CA X3.
До чого тут кореневий сертифікат
Річ у тому, що будь-який телефон, комп’ютер або планшет зберігає кореневі сертифікати. Ці сертифікати не випускаються разом з сертифікатом на домен і зберігаються на кожному окремому пристрої. Оновлення кореневих сертифікатів відбувається разом з оновленням версії пристрою.
Кореневі сертифікати використовуються для підписання проміжних сертифікатів. А на основі проміжних випускаються сертифікати для доменів. Так створюється ланцюжок довіри сертифікатів. Коли браузер перевіряє, чи можна довіряти сайту, він простежує весь ланцюжок від проміжного сертифіката до одного з кореневих сертифікатів у своєму сховищі. Якщо браузер знаходить кореневий сертифікат SSL в сховищі, то показує сайт користувачеві. Якщо не знаходить, то в браузері з’являється вікно з помилкою «Підключення не захищене».
Кореневий сертифікат Let’s Encrypt ― ISRG Root X1 спочатку не міг швидко потрапити в сховища кореневих сертифікатів більшості пристроїв. Тому для сертифікатів Let’s Encrypt використовується ланцюжок довіри, який веде до кореневого сертифіката DST Root CA X3.
Нові версії пристроїв вже додали в сховище кореневий сертифікат ISRG Root X1, тому не йдуть далі по ланцюжку довіри, щоб перевірити сайт.
Ланцюжок довіри сертифікатів Let’s Encrypt на нових пристроях:
ISRG Root X1 → Let's Encrypt R3 → Кінцевий сертифікат користувача
А старі версії пристроїв все ще не розпізнають новий проміжний сертифікат ISRG Root X1, тому ланцюжок перевірки для них виглядає так:
IdenTrust's DST Root CA X3 → ISRG Root X1 → Let's Encrypt R3 → Кінцевий сертифікат користувача
Що трапилося з сайтами
30 вересня 2021 закінчився термін дії кореневого сертифіката IdenTrust DST Root CA X3 від центру Let’s Encrypt. Тепер на пристроях, які не довіряють кореневому сертифікату ISRG Root X1, виникає проблема з перевіркою сертифіката Let’s Encrypt і сайти не відкриваються.
На яких версіях пристроїв перестали працювати SSL-сертифікати Let’s Encrypt:
- Android версії нижче 2.3.6;
- iOS версії нижче 10;
- macOS версії нижче 10.12.1;
- Windows XP версії нижче SP3;
- Ubuntu версії нижче 12.04;
- Debian версії нижче 6;
- Mozilla Firefox версії нижче 2.0;
- Nintendo версії нижче 3DS;
- PlayStation версії нижче 5.0.
Що робити
Власник сайту з сертифікатом Let’s Encrypt може зробити наступне:
- Запропонувати відвідувачам сайту вручну видалити кореневий сертифікат IdenTrust DST Root CA X3 зі сховища пристрою і встановити замість нього ISRG Root X1.
- Попросити користувачів сайту оновити версії ОС і браузерів.
- Встановити на сайт платний SSL-сертифікат від довіреного центру сертифікації. Тоді сайт буде працювати в 99.9% браузерів і на старих версіях пристроїв.
Використовуйте промокод BLOGSSL20
при замовленні Essential SSL і отримуйте знижку 20%
