октября 1

30 сентября истёк срок действия старого корневого сертификата Let's Encrypt

Каждая система имеет собственное хранилище доверенных корневых сертификатов. Эти сертификаты используются для проверки валидности цепочки сертификатов на домены при обращении к разным сайтам и сервисам. Система доверяет только сертификатам, подписанным с использованием закрытого ключа одного из корневых сертификатов, присутствующих в её хранилище. Корневые сертификаты имеют длительные сроки действия и меняются крайне редко.

Процесс попадания нового корневого сертификата в хранилища доверенных сертификатов множества систем занимает длительное время, обычно это происходит с обновлением версии ОС или прошивки каждого отдельного устройства. Из-за этого проекту Let's Encrypt на начальном этапе своей деятельности вместо собственного корневого сертификата ISRG Root X1 пришлось использовать цепочку доверия, ведущую к более распространённому на тот момент корневому сертификату DST Root CA X3, признаваемому большинством систем без каких-либо действий их пользователей. В нынешнем году Let's Encrypt перешёл на использование уже собственного корневого сертификата, который будет действовать до 2035 года.

30 сентября 2021 года истёк срок действия корневого сертификата DST Root CA X3. В результате устаревшие устройства, которые давно не получали обновлений и не поддерживают новый корневой сертификат ISRG Root X1, перестали доверять старому сертификату и при посещении сайтов, использующих сертификаты от Let's Encrypt, выдают предупреждения или не могут установить защищённое соединение.

К устаревшим устройствам относятся системы возрастом старше 5 лет, среди которых: 
- Windows XP до SP3
- macOS до 10.12.1
- iOS до 10 
- Android до 2.3.6 (версии до 7.1.1 перестанут поддерживать сертификат в 2024 году)
- Ubuntu до 16.04
- Debian до 8
- Sony PlayStation 3 и 4 с прошивками до 5.00
- Старые модели смарт-телевизоров и умных домашних устройств

Варианты решения проблемы

- Если возможно, следует обновить ОС или прошивку устройства до актуальной версии. К примеру, для некоторых старых Android-устройств существуют кастомные прошивки с более современной версией Android.
- Использовать браузер Firefox не ниже 50-й версии, который поставляется с собственным хранилищем актуальных сертификатов и не зависит от хранилища используемой системы.

Другие возможные варианты описаны в нашей вики.

Подключение сайта к Cloudflare не решит проблему? Они же вроде свой сертификат подключают
Написал dotern 03.10.2021 в 23:50
Напишу небольшую рецензию на данную новость.
Первое, что бросается в глаза - данная "новостная простыня" гуляет по многим информационным сайтам, остается загадкой, кто же оригинальный автор данного материала? Есть конечно несколько отличительных вставок, но в целом складывается впечатление, что цель новости в публикации самой новости, а не в желании помощь клиентам компании. Из плюсов, не могу не отметить - наличие прямой ссылки на сертификат, потому как даже не всякий опытный специалист может сразу найти конкретную ссылку на конкретной странице из-за не тщательно продуманной навигации непосредственно сайта издателя сертификата, на это приходится тратить время и внимание. Но и в этом случае, я бы лично выложил также ссылку на загрузку сертификата непосредственно с хостинга (для устранения проблем с возможным перемещением/удалением ссылки на официальном сайте, а также для упрощения доступа к файлу и его скачивания). Что касается непосредственно самого решения, достаточно скачать сертификат и правой кнопкой мыши нажать «Установить». Этого хватит для решения проблем в большинстве случаев для операционной системы Windows, и лабуду про удаление старого сертификата можно пропустить, также как и с выбором места сохранения сертификата - достаточно указать автоматическое определение. Во всех остальных случаях оставить ссылку на подробную инструкцию в вики. И еще, небольшой нюанс о способе решения проблемы. Принимать меры по решению проблемы стоит пока хоть какая-то часть аудитории сервиса использует устаревшее ПО и никак не пренебрегать ею. Каждый потенциальный клиент важен, особенно в наших современных реалиях: пандемии, кризисов и т.п. Вы ничего не потеряете, а взаимовыручка и поддержка сделает всех нас только сильнее.
Если даже хоть 1 человек прочитает данную рецензию, значит писал ее не зря. А если кому-то поможет или натолкнет на новые идеи и мысли, значит не все потеряно. :-)
Написал asrobot 04.10.2021 в 04:11
поясните, пожалуйста, если я пользуюсь CP Vesta на VPS - требуется ли мне перевыпускать сертификат, если у некоторых посетителей моего сайта (на старых macOS в Safari) отображается ошибка сертификата? В то же время на новых маках и в фаерфоксе/хроме на винде - всё ок.
Написал no_smb 07.10.2021 в 15:12