Срок действия корневого сертификата IdenTrust DST Root CA X3 от центра Let’s Encrypt истек 30 сентября 2021 года. Из-за этого миллионы старых версий iPhone, Android и компьютеров не могут попасть на сайты с Let’s Encrypt. Разберемся, что случилось и как исправить.
![из-за обновления корневого сертификата от Let’s Encrypt, миллионы пользователей не могут открыть сайты](https://ssl.com.ua/blog/wp-content/uploads/2021/10/SSL_BlogPic_25-1.png)
Что такое корневой сертификат
Все SSL-сертификаты в интернете выдаются центрами сертификации, которым доверяют устройства. Каждое устройство знает, какому сертификату доверять, потому что хранит список корневых сертификатов. Хранилища корневых сертификатоввстроены в ОС и обычно обновление корневых сертификатов включено в процесс обновления ОС. Корневой сертификат, который вызвал проблему для миллиона пользователей ― IdentTrust DST Root CA X3 и его срок действия закончился. С этого момента у всех браузеров, которые доверяли сертификатам на основе DST Root CA X3, проблема с проверкой сертификата Let’s Encrypt.
Почему Let’s Encrypt сертификаты перестали работать выборочно
Хотя SSL-сертификаты Let’s Encrypt подтверждались за счет корневого сертификата IdenTrust DST Root CA X3, он был не единственным. У Let’s Encrypt есть новый промежуточный сертификат ISRG Root X1, но про него не знают старые версии прошивок. Таким образом, на новых устройствах сайты с Let’s Encrypt нормально открываются, а на старых появляется ошибка «Подключение не защищено».
![Старым устройствам придется удалить корневой сертификат IdenTrust DST Root CA X3](https://ssl.com.ua/blog/wp-content/uploads/2021/10/2020.12.21-android-compat-cert-chain-692x1024.png)
Какие устройства столкнутся с ошибками SSL-соединения
- Windows старше, чем версия XP SP3;
- macOS старше, чем версия 10.12.1;
- iOS старше, чем версия 10;
- Android старше, чем версия 7.1.1;
- Mozilla Firefox старше, чем версия 50;
- Ubuntu старше, чем версия 16.04;
- Debian старше, чем версия 8;
- Nintendo старше, чем версия 3DS;
- PlayStation старше, чем версия 5.0.
Что делать владельцам сайтов
Так как старый корневой сертификат SSL не восстановят, у пользователей продолжатся проблемы с доступом к сайтам. Есть два способа решить проблему:
- Предложить посетителям сайта обновиться до новой версии ПО, чтобы их устройства узнали про новый корневой сертификат ISRG Root X1.
- Купить SSL-сертификат для сайта, совместимый со старыми версиями устройств.