30 сентября 2021 года закончился срок действия корневого сертификата IdenTrust DST Root CA X3 от центра Let's Encrypt. Из-за этого на старых устройствах возникает ошибка SSL при входе на сайты с Let's Encrypt сертификатами. Рассказываем, что произошло, и что с этим делать.
Что произошло
Чтобы сайт отображался выше в поисковой выдаче и защищал данные пользователей, на него нужно установить SSL-сертификат. Сертификат можно купить у доверенного центра сертификации или использовать бесплатные криптографические сертификаты. Самый популярный бесплатный сертификат ― Let’s Encrypt.
👉Читайте также наши статьи:
- Что такое SSL-сертификат
- Нужен ли SSL-сертификат моему сайту
- Как работает SSL-сертификат
Чтобы сайт с SSL-сертификатом открывался в браузере, на устройстве пользователя должен быть корневой сертификат SSL. Эти сертификаты добавляются в хранилища корневых сертификатов и обновляются вместе с версией ПО. Когда браузер хочет открыть сайт, он проверяет SSL-сертификат сайта и корневые сертификаты в хранилище. Если браузер находит связь между сертификатами, то разрешает открыть сайт. Такая связь называется ― цепочка доверия.
Корневой сертификат Let's Encrypt ― ISRG Root X1. Когда Let’s Encrypt сертификаты только появились, их нужно было быстро распространить по миллионам устройств. То есть у всех устройств в хранилище должен был быть корневой сертификат ISRG Root X1. Это было сложно и долго, поэтому Let’s Encrypt сертификаты начали использовать корневой сертификат IdenTrust DST Root CA X3. Этот сертификат уже был в хранилищах большинства устройств.
Таким образом, в новые версии устройств уже добавили корневой сертификат ISRG Root X1, но в старых устройствах так и остался только IdenTrust DST Root CA X3. Это значит, что старые устройства ничего не знают про новый промежуточный сертификат ISRG Root X1, поэтому не доверяют сайтам с Let’s Encrypt.
На каких устройствах возникает проблема с проверкой сертификата Let's Encrypt:
- Windows версии ниже XP SP3;
- macOS версии ниже 10.12.1;
- iOS версии ниже 10;
- Android версии ниже 7.1.1;
- Mozilla Firefox версии ниже 50;
- Ubuntu версии ниже 16.04;
- Debian версии ниже 8;
- Nintendo версии ниже 3DS;
- PlayStation версии ниже 5.0.
Как починить
Чтобы на сайте не было ошибки «Подключение не защищено», владелец сайта может заменить Let’s Encrypt платным сертификатом. Такие сертификаты работают на старых версиях устройств.
Если же вы владелец старого устройства, то можете сделать следующее:
- Обновится до новой версии ПО, чтобы получить новый корневой сертификат ISRG Root X1.
- Вручную удалить корневой сертификат IdenTrust DST Root CA X3 из хранилища и заменить его на ISRG Root X1.
- Установить браузер Firefox, так как у этого браузера есть собственный список корневых сертификатов.
Если вам понравилась статья, ставьте лайки и подписывайтесь на канал 😉
