Ошибка установки SSL-соединения с сертификатом Let’s Encrypt 30-09-2021
Начиная с сегодняшнего дня, 30 сентября 2021 года при попытке соединения с сервером по шифрованным протоколам SSL/TLS могут возникать ошибки:
SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.
NET::ERR_CERT_DATE_INVALID
или другая аналогичная, сообщающая о невозможности установки защищённого соединения.
Причина заключается в истечение сегодня срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра (УЦ) Let’s Encrypt. Этим УЦ выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имён), используемых в сети на веб-сайтах, почтовых серверах и других сервисах. Так как срок действия сертификата действителен не позднее 30 сентября 2021 14:01:15 GMT, после этой даты устройства и программы более не могут доверять ему и соединения не будут устанавливаться.
На хабре побольше теории можно почерпнуть…
Решение проблемы
Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако, устройства и операционные системы, не получающие обновления цепочки сертификатов, могут не иметь его в списке доверенных и столкнутся с ошибками SSL соединения. Список такого ПО и операционных систем:
Android до версии 7.1.1;
Mozilla Firefox до 50.0;
MacOS 10.12.0 и старше;
Windows XP (с Service Pack 3);
iOS-устройств до версии iOS 10;
OpenSSL 1.0.2 и ниже;
Ubuntu до версий 16.04;
Debian 8 и старше.
Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.
Windows 7
В Windows установить корневой сертификат ISRG Root X1 можно запустив оснастку “Сертификаты” командой:
mmc /i
и импортировав в корневые сертификаты учётной записи компьютера файл сертификата.
iOS (iPhone и iPad с ОС до 10 версии)
Скачайте файл сертификата ISRG Root X1 на устройство.
Перейдите в «Настройки» -> «Основные» -> «Профили и управление устройством» выберите сертификат ISRG Root X1 и нажмите «Установить».
В Настройки» -> «Основные» -> «Доверие сертификатов» включите «Доверять корневым сертификатам полностью».
Android
Устройства с версиями ОС Android до 7.1.1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
Гиперссылка на источник — сайт Tendence.ru, кот. обязательна! Спасибо им!