Найти в Дзене
Лаборатория сисадмина
7356 подписчиков

Android 6.0.1 — установка сертификата ISRG Root X1

330
3 мин
30 сентября 2021 г окончился срок действия корневого сертификата IdenTrust DST Root CA X3. Вместо него теперь должен использоваться самоподписанный сертификат ISRG Root X1, который добавили в качестве второго корневого сертификата и образовали альтернативную цепочку. Let's Encrypt — истёк срок действия корневого сертификата IdenTrust DST Root CA X3 Не все версии Android поддерживают новый корневой сертификат ISRG Root X1. Поддержка есть у Android >= 7.1.1. Пишут, что Android >= 2.3.6 должен работать из-за специального шаманства, но я так и не понял, что именно будет работать, а что нет. в Android 6.0.1 у меня те сайты, сертификаты которых пошли по цепочке до IdenTrust DST Root CA X3, открылись, несмотря на то, что срок действия сертификата истёк. А те сайты, сертификаты которых пошли по цепочке до самоподписанного ISRG Root X1, не открылись, потому что его нет в списке доверенных. https://letsencrypt.org/docs/certificate-compatibility/#platforms-that-trust-dst-root-ca-x3 Соответственно
Оглавление

30 сентября 2021 г окончился срок действия корневого сертификата IdenTrust DST Root CA X3. Вместо него теперь должен использоваться самоподписанный сертификат ISRG Root X1, который добавили в качестве второго корневого сертификата и образовали альтернативную цепочку.

Let's Encrypt — истёк срок действия корневого сертификата IdenTrust DST Root CA X3

Не все версии Android поддерживают новый корневой сертификат ISRG Root X1. Поддержка есть у Android >= 7.1.1. Пишут, что Android >= 2.3.6 должен работать из-за специального шаманства, но я так и не понял, что именно будет работать, а что нет. в Android 6.0.1 у меня те сайты, сертификаты которых пошли по цепочке до IdenTrust DST Root CA X3, открылись, несмотря на то, что срок действия сертификата истёк. А те сайты, сертификаты которых пошли по цепочке до самоподписанного ISRG Root X1, не открылись, потому что его нет в списке доверенных.

https://letsencrypt.org/docs/certificate-compatibility/#platforms-that-trust-dst-root-ca-x3

Соответственно, все системы, которые не доверяют сертификату ISRG Root X1, будут открывать сайты с сертификатом Let's Encrypt вот так:

-2

На моём телефоне с Andriod 6.0.1 Marshmallow сертификат ISRG Root X1 отсутствует в списке доверенных, поэтому сайты с сертификатом Let's Encrypt у меня перестали открываться.

-3

Можно, конечно, каждый раз нажимать на кнопку "Дополнительные", потом на ссылку "Перейти на сайт... (небезопасно)". Тогда сайт откроется.

-4

Можно установить браузер Mozilla Firefox, у него собственный набор доверенных сертификатов, который постоянно обновляется. Но всё-таки хотелось бы, чтобы всё само открывалось без танцев с бубнами в привычном встроенном браузере.

Просмотр сертификатов на Android 6.0

Посмотрим, какие сейчас используются сертификаты. Нажимаем на значок слева от URL — ⓘ. Открывается окно "Незащищённое подключение".

-5

Для просмотра сертификатов нажимаем ссылку "Данные сертификата".

-6

Сертификат выдан Let's Encrypt. Срок действия ещё не вышел. Посмотрим промежуточный сертификат, стрелка вниз.

-7

Видно только промежуточный сертификат R3, выбираем.

-8

Этот сертификат выдан DST Root CA X3, срок действия которого, как мы знаем, истёк. Более того, срок сертификата R3 тоже истёк. И на этом браузер останавливается и не доверяет сайту. А всё потому, что проверка пошла по основной цепочке. Альтернативная цепочка не была задействована, потому что сертификат ISRG Root X1 неизвестен Android.

Добавляем ISRG Root X1 в список доверенных сертификатов на Android 6.0

Первым делом нужно установить на телефон PIN-код или графический код. Android 6.0.1 позволяет устанавливать собственные сертификаты только с блокировкой экрана. При отключении PIN-кода или графического кода персональные сертификаты будут удалены (не проверял). В любом случае, при попытке добавить сертификат вас попросят включить блокировку экрана.

Идём в Настройки → Экран блокировки и защита → Тип блокировки экрана. Здесь устанавливаем PIN-код или другой способ блокировки.

-9

Идём в Настройки → Экран блокировки и защита → Другие параметры безопасности.

-10

Мотаем вниз и видим нужные нам пункты:

  • Сертификаты безопасности
  • Сертификаты пользователя
  • Установить из памяти
  • Удалить учётные данные
-11

Нажимаем Сертификаты безопасности, находим протухший сертификат Digital Signature Trust Co. (DST Root CA X3) и отключаем его, чтобы телефон не пытался использовать эту цепочку.

-12

Скачиваем сертификат ISRG Root X1 и Let’s Encrypt R3 в формате PEM. Я буду ставить оба сертификата.

https://letsencrypt.org/certificates/

-13

Нажимаем на сертификат и устанавливаем его. Используется для VPN и приложений.

-14

Второй тоже устанавливаем.

-15

Список установленных сертификатов можно посмотреть в Настройки → Экран блокировки и защита → Другие параметры безопасности → Сертификаты безопасности → Пользователь.

-16

Можно посмотреть подробную информацию о каждом сертификате.

Сертификат безопасности ISRG Root X1 действителен до 2035 года, самоподписанный.

-17

Сертификат безопасности Let’s Encrypt R3 действителен до 2025 года, промежуточный.

-18

Перезагружаем телефон.

Теперь сайты с сертификатами Let’s Encrypt открываются без проблем на телефоне с Android 6.0.1 Marshmallow.

-19

Источник:
https://internet-lab.ru/letss_encrypt_android_6_0_1

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

Гаджеты и электроника
5,73 млн интересуются