Термін дії кореневого сертифіката Let's Encrypt закінчився. Як вирішити проблему

Термін дії кореневого сертифіката IdenTrust DST Root CA X3 від центру Let’s Encrypt закінчився 30 вересня 2021 року. Через це мільйони старих версій iPhone, Android та комп’ютерів не можуть потрапити на сайти з Let’s Encrypt. Розберемося, що сталося та як виправити.

через оновлення кореневого сертифіката від Let's Encrypt, мільйони користувачів не можуть відкрити сайти

Що таке кореневий сертифікат

Усі SSL-сертифікати в інтернеті видаються центрами сертифікації, яким довіряють пристрої. Кожен пристрій знає, якому сертифікату довіряти, тому що зберігає список кореневих сертифікатів. Сховища кореневих сертифікатів вбудовані в ОС і зазвичай оновлення кореневих сертифікатів включено у процес оновлення ОС. Кореневий сертифікат, який викликав проблему для мільйона користувачів — IdentTrust DST Root CA X3 і його термін дії закінчився. З цього моменту у всіх браузерів, які довіряли сертифікатам на основі DST Root CA X3 проблема з перевіркою сертифіката Let’s Encrypt.

Чому Let’s Encrypt сертифікати перестали працювати вибірково

Хоча SSL-сертифікати Let’s Encrypt підтверджувалися за рахунок кореневого сертифіката IdenTrust DST Root CA X3, він був не єдиним. Let’s Encrypt має новий проміжний сертифікат ISRG Root X1, але про нього не знають старі версії прошивок. Таким чином, на нових пристроях сайти з Let’s Encrypt нормально відкриваються, а на старих з’являється помилка «Підключення не захищене».

Старим пристроям доведеться видалити кореневий сертифікат IdenTrust DST Root CA X3
Ланцюжки довіри сертифікатів Let’s Encrypt: за новим ланцюжком довіри сертифікати працюють тільки на тих пристроях, які знають про ISRG Root X1. Джерело

Які пристрої зіткнуться з помилками SSL-з’єднання

  • Windows старша, ніж версія XP SP3;
  • macOS старший за версію 10.12.1;
  • iOS старший за версію 10;
  • Android старше, ніж версія 7.1.1;
  • Mozilla Firefox старше, ніж версія 50;
  • Ubuntu старше, ніж версія 16.04;
  • Debian старший за версію 8;
  • Nintendo старше, ніж версія 3DS;
  • PlayStation старша за версію 5.0.

Що робити власникам сайтів

Так як старий кореневий сертифікат SSL не відновлять, у користувачів продовжаться проблеми з доступом до сайтів. Є два способи вирішити проблему:

  • Запропонувати відвідувачам сайту оновитися до нової версії програмного забезпечення, щоб їх пристрої дізналися про новий кореневий сертифікат ISRG Root X1 .
  • Купити SSL-сертифікат для сайту, сумісний із старими версіями пристроїв. 

Купити SSL зі знижкою