SSL-сертификаты Let’s Encrypt перестали работать на старых устройствах

Читать 5 мин.

30 сентября 2021 сайты с Let’s Encrypt сертификатами перестали открываться у некоторых пользователей. Это произошло из-за того, что закончился срок действия корневого сертификата IdenTrust DST Root CA X3.

Из-за окончания срока действия корневого сертификата Let's Encrypt миллионы устройств останутся без интернета

При чем здесь корневой сертификат

Дело в том, что любой телефон, компьютер или планшет хранит корневые сертификаты. Эти сертификаты не выпускаются вместе с сертификатом на домен и хранятся на каждом отдельном устройстве. Обновление корневых сертификатов происходит вместе с обновлением версии устройства.

Корневые сертификаты используются для подписания промежуточных сертификатов. А на основе промежуточных выпускаются сертификаты для доменов. Так создается цепочка доверия сертификатов. Когда браузер проверяет, можно ли доверять сайту, он прослеживает всю цепочку от промежуточного сертификата до одного из корневых сертификатов в своем хранилище. Если браузер находит корневой сертификат SSL в хранилище, то показывает сайт пользователю. Если нет, то в браузере появляется окно с ошибкой «Подключение не защищено».

Ошибка ssl-сертификата в браузере из-за обновления корневого сертификата от Let’s Encrypt
Ошибка SSL-сертификата в браузере

Корневой сертификат Let’s Encrypt ― ISRG Root X1 изначально не мог быстро попасть в хранилища корневых сертификатов большинства устройств. Поэтому для сертификатов Let’s Encrypt используется цепочка доверия, которая ведет к корневому сертификату DST Root CA X3

Новые версии устройств уже добавили в хранилище корневой сертификат ISRG Root X1, поэтому не идут дальше по цепочке доверия, чтобы проверить сайт. 

Цепочка доверия сертификатов Let’s Encrypt на новых устройствах: 

ISRG Root X1Let's Encrypt R3Конечный сертификат пользователя

А старые версии устройств все еще не распознают новый промежуточный сертификат ISRG Root X1, поэтому цепочка проверки для них выглядит так: 

IdenTrust’s DST Root CA X3ISRG Root X1Let's Encrypt R3Конечный сертификат пользователя

Что случилось с сайтами

30 сентября 2021 закончился срок действия корневого сертификата IdenTrust DST Root CA X3 от центра Let’s Encrypt. Теперь на устройствах, которые не доверяют корневому сертификату ISRG Root X1, возникает проблема с проверкой сертификата Let’s Encrypt и сайты не открываются. 

На каких версиях устройств перестали работать SSL-сертификаты Let’s Encrypt: 

  • Android версии ниже 2.3.6;
  • iOS версии ниже 10;
  • macOS версии ниже 10.12.1;
  • Windows XP версии ниже SP3;
  • Ubuntu версии ниже 12.04;
  • Debian версии ниже 6;
  • Mozilla Firefox версии ниже 2.0;
  • Nintendo версии ниже 3DS;
  • PlayStation версии ниже 5.0. 

Что делать

Владелец сайта с сертификатом Let’s Encrypt может сделать следующее: 

  • Предложить посетителям сайта вручную удалить корневой сертификат IdenTrust DST Root CA X3 из хранилища устройства и установить вместо него ISRG Root X1.
  • Попросить пользователей сайта обновить версии ОС и браузеров. 
  • Установить на сайт платный SSL-сертификат от доверенного центра сертификации. Тогда сайт будет работать в 99.9 % браузеров и на старых версиях устройств. 

Используйте промокод BLOGSSL20
при заказе Essential SSL и получите скидку 20%

Защитить сайт

Работала в службе поддержки клиентов HOSTiQ.ua: общалась с клиентами, писала инструкции, проверяла чаты. Ушла в маркетинг, чтобы писать не только инструкции. Статьи, рассылки, сценарии и SMM — мои новые друзья. Люблю котов, но собак больше.

Рекомендуемые статьи
Copyright © 2024 HOSTiQ.ua.
Все права защищены.
Сделать сайт с нуля самому? С нашими готовыми решениями — легко 👉СДЕЛАТЬ САЙТ
+