Главная » Блог » Lets Encrypt - истёк срок действия корневого сертификата DST Root CA X3

Let's Encrypt - истёк срок действия корневого сертификата DST Root CA X3

30 сентября 2021 года истёк срок действия корневого сертификата DST Root CA X3. В результате устаревшие устройства, которые давно не получали обновлений и не поддерживают новый корневой сертификат ISRG Root X1, перестали доверять старому сертификату и при посещении сайтов, использующих сертификаты от Let's Encrypt, выдают предупреждения или не могут установить защищённое соединение.

Перечень устройств, считающихся устаревшими

К устаревшим устройствам относятся системы возрастом старше 5 лет, среди которых:

  • Windows XP до SP3 (а также для SP3 и Windows 7, если не производилось автоматическое обновление корневых сертификатов);
  • macOS до 10.12.1;
  • iOS до 10;
  • Android до 2.3.6 (при этом доступ к сервисам еще может быть, из-за особенностей проверки корневых сертификатов, а версии до 7.1.1 перестанут поддерживать сертификат в 2024 году);
  • Ubuntu до 16.04;
  • Debian до 8;
  • Sony PlayStation 3 и 4 с прошивками до 5.00;
  • Старые модели смарт-телевизоров и умных домашних устройств;
  • Устройства, использующие OpenSSL версии 1.0.x;

Способы решения проблемы

Решить проблему можно несколькими способами. Лучшем решением будет обновление ПО до последних версий, где уже включена поддержка нового корневого сертификата. Принимать меры по решению проблемы стоит только в том случае, если это необходимо, например, довольно крупная часть аудитории сервиса использует устаревшее ПО и они критичны для проекта. В ином случае стоит пренебречь текущей ситуацией.

Со стороны клиента

Со стороны клиента можно:

  1. Вручную установить корневой сертификат ISRG Root X1, если он остутствует в хранилище используемой системы или ПО.
  2. Удалить устаревший корневой сертификата DST Root CA X3. Наличие устаревшего корневого сертификата может мешать нормальной работе с сервисами, использующими сертификаты Let's Encrypt.

Внимание! Решить проблему данным способом можно не на всех устройствах.

Со стороны сервера

Решение проблемы со стороны сервера возможно только путём использования других сертификатов.

  1. Чтобы использовать другой сертификат, необходимо его приобрести в одном из центров сертификации или у их партнера. При выборе нового сертификата важно учитывать, какие функции он предоставляет и для каких сфер подходит. Для примера ниже приведены некоторые известные центры сертификации:
    -Comodo
    -GeoTrust
    -Symantec (DigiCert)
    -Thawte
  2. Установите полученный сертификат для сайта.
  3. После установки сертификата дождитесь обновления кешированной информации, что происходит обычно в течение 15 минут, и проверьте работу сайта на проблемном устройстве.