Срок действия корневого сертификата Let’s Encrypt закончился. Как решить проблему

Срок действия корневого сертификата IdenTrust DST Root CA X3 от центра Let’s Encrypt истек 30 сентября 2021 года. Из-за этого миллионы старых версий iPhone, Android и компьютеров не могут попасть на сайты с Let’s Encrypt. Разберемся, что случилось и как исправить. 

из-за обновления корневого сертификата от Let’s Encrypt, миллионы пользователей не могут открыть сайты

Что такое корневой сертификат

Все SSL-сертификаты в интернете выдаются центрами сертификации, которым доверяют устройства. Каждое устройство знает, какому сертификату доверять, потому что хранит список корневых сертификатов. Хранилища корневых сертификатоввстроены в ОС и обычно обновление корневых сертификатов включено в процесс обновления ОС. Корневой сертификат, который вызвал проблему для миллиона пользователей ― IdentTrust DST Root CA X3 и его срок действия закончился. С этого момента у всех браузеров, которые доверяли сертификатам на основе DST Root CA X3, проблема с проверкой сертификата Let’s Encrypt.

Почему Let’s Encrypt сертификаты перестали работать выборочно

Хотя SSL-сертификаты Let’s Encrypt подтверждались за счет корневого сертификата IdenTrust DST Root CA X3, он был не единственным. У Let’s Encrypt есть новый промежуточный сертификат ISRG Root X1, но про него не знают старые версии прошивок. Таким образом, на новых устройствах сайты с Let’s Encrypt нормально открываются, а на старых появляется ошибка «Подключение не защищено». 

Старым устройствам придется удалить корневой сертификат IdenTrust DST Root CA X3
Цепочки доверия сертификатов Let’s Encrypt: по новой цепочке доверия сертификаты работают только на тех устройствах, которые знают про ISRG Root X1. Источник

Какие устройства столкнутся с ошибками SSL-соединения

  • Windows старше, чем версия XP SP3;
  • macOS старше, чем версия 10.12.1;
  • iOS старше, чем версия 10;
  • Android старше, чем версия 7.1.1; 
  • Mozilla Firefox старше, чем версия 50;
  • Ubuntu старше, чем версия 16.04;
  • Debian старше, чем версия 8;
  • Nintendo старше, чем версия 3DS;
  • PlayStation старше, чем версия 5.0. 

Что делать владельцам сайтов

Так как старый корневой сертификат SSL не восстановят, у пользователей продолжатся проблемы с доступом к сайтам. Есть два способа решить проблему:

  • Предложить посетителям сайта обновиться до новой версии ПО, чтобы их устройства узнали про новый корневой сертификат ISRG Root X1.
  • Купить SSL-сертификат для сайта, совместимый со старыми версиями устройств. 

Купить SSL по скидке