Сертификат r3 что это
Перейти к содержимому

Сертификат r3 что это

  • автор:

Включение доверия для профилей сертификатов в iOS и iPadOS, установленных вручную

При ручной установке профиля, содержащего полезную нагрузку сертификата, в iOS и iPadOS этот сертификат не становится доверенным для SSL автоматически. Узнайте, как вручную включить доверие к установленному профилю сертификата.

No alt supplied for Image

Эта статья предназначена для системных администраторов учебных учреждений, предприятий и других организаций.

При установке профиля, полученного по электронной почте или загруженного с веб-сайта, доверие для SSL/TLS необходимо включать вручную.

Если требуется включить доверие SSL/TLS для такого сертификата, перейдите в раздел «Настройки» > «Основные» > «Об этом устройстве» > «Настройки доверия сертификатов». В разделе «Включить полное доверие для корневых сертификатов» включите доверие для сертификата.

Настройки доверия сертификатов на iPhone

Apple рекомендует развертывать сертификаты с помощью средств Apple Configurator или Mobile Device Management (MDM). Доверие полезных нагрузок сертификатов автоматически включается для SSL при их установке с помощью средств Configurator, MDM или в качестве части профиля регистрации MDM.

Корневые сертификаты

Схема иерархии сертификатов ISRG по состоянию на декабрь 2020 г.

Схема иерархии сертификатов ISRG по состоянию на декабрь 2020 г.

Наши корневые сертификаты хранятся в надёжном месте и недоступны онлайн. Мы выпускаем сертификаты для пользователей на основе промежуточных сертификатов из следующего раздела. Для дополнительной совместимости с новым Root X2 с различными корневыми хранилищами, мы также подписали его с Root X1.

  • Активные
    • ISRG Root X1 ( RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1 )
      • Самоподписанный: der, pem, txt
      • Кросс подписанный DST Root CA X3: der, pem, txt
      • ISRG Root X2 ( ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2 )
        • Самоподписанный: der, pem, txt
        • Кросс-подписанный ISRG Root X1: der, pem, txt

        Мы создали сайты для проверки цепочки сертификатов вплоть до активных корневых.

        • ISRG Root X1
          • Действительный
          • Отозванный
          • Срок действия истёк
          • Действительный
          • Отозванный
          • Срок действия истёк

          Промежуточные сертификаты

          Как правило, сертификаты, выпущенные Let’s Encrypt, создаются на основе “R3”, промежуточного RSA. В настоящее время выпуск сертификатов из “E1”, промежуточного ECDSA-сертификата, возможен только для ключей ECDSA из разрешенных аккаунтов. В будущем выпуск сертификатов из “Е1” будет доступен для всех.

          Дополнительные промежуточные сертификаты (“R4” и “E2”) зарезервированы для восстановления после стихийных бедствий, и будут использованы только в том случае, если мы потеряем доступ к нашими основным межуточным сертификатам. Мы больше не используем промежуточные сертификаты X1, X2, X3 и X4.

          IdenTrust кросс-подписал наши промежуточные сертификаты RSA для дополнительной совместимости.

          • Активные
            • Let’s Encrypt R3 ( RSA 2048, O = Let’s Encrypt, CN = R3 )
              • Подписанный ISRG Root X1: der, pem, txt
              • Кросс-подписанный IdenTrust: der, pem, txt (Retired)
              • Let’s Encrypt E1 ( ECDSA P-384, O = Let’s Encrypt, CN = E1 )
                • Подписанный ISRG Root X2: der, pem, txt
                • Let’s Encrypt R4 ( RSA 2048, O = Let’s Encrypt, CN = R4 )
                  • Подписанный ISRG Root X1: der, pem, txt
                  • Кросс-подписанный IdenTrust: der, pem, txt (Retired)
                  • Подписанный ISRG Root X2: der, pem, txt
                  • Let’s Encrypt Authority X1 ( RSA 2048, O = Let’s Encrypt, CN = Let’s Encrypt Authority X1 )
                    • Подписанный ISRG Root X1: der, pem, txt
                    • Кросс-подписанный IdenTrust: der, pem, txt
                    • Подписанный ISRG Root X1: der, pem, txt
                    • Кросс-подписанный IdenTrust: der, pem, txt
                    • Подписанный ISRG Root X1: der, pem, txt
                    • Кросс-подписанный IdenTrust: der, pem, txt
                    • Подписанный ISRG Root X1: der, pem, txt
                    • Кросс-подписанный IdenTrust: der, pem, txt

                    Кросс-подпись

                    Промежуточные сертификаты

                    Каждый из наших промежуточных сертификатов представляет собой одну публичную/частную ключевую пару. Это позволяет всем основным браузерам принимать наши сертификаты с нашим же корневым сертификатом.

                    Наши промежуточные RSA-сертификаты подписаны ISRG Root X1. На данный момент ISRG Root X1 пользуется широким доверием, но у наших промежуточных RSA по-прежнему кросс-подпись “DST Root CA X3” IdenTrust (теперь он называется “TrustID X3 Root”) для дополнительной клиент-совместимости. Корневой сертификат IdenTrust существует дольше и поэтому лучше совместим со старыми устройствами и операционными системами (например, Windows XP, Android 7). Вы можете загрузить “TrustID X3 Root” из IdenTrust (или, как вариант, вы можете скачать копию у нас).

                    Кросс-подпись означает, что каждый из наших промежуточных сертификатов имеет два сертификата, представляющих один и тот же ключ подписи. Один подписан DST Root CA X3, другой подписан ISRG Root X1. Самый простой способ отличить их — посмотреть на поле “Issuer” (издатель).

                    При настройке web-сервера, администратор указывает не только листовые сертификаты, но и список промежуточных сертификатов. Это помогает браузеру проверить, входит ли листовой сертификат в цепочку доверия, ведущую к корневому сертификату. Почти все операторы серверов будут выбирать для обслуживания цепочку, включающую промежуточный сертификат с субъектом “R3” и издателем “ISRG Root X1”. Рекомендуемое клиентское программное обеспечение Let’s Encrypt, Certbot, выполнит эту задачу без затруднений.

                    Корневые сертификаты

                    Как и промежуточные сертификаты, корневые сертификаты могут быть кросс-подписаны, часто для увеличения клиентской совместимости. Наш корневой ECDSA-сертификат, ISRG Root X2 был создан осенью 2020 года и является корневым сертификатом для иерархии ECDSA. Он представлен двумя сертификатами: самоподписанным и подписанным ISRG Root X1.

                    Все сертификаты, подписанные промежуточным ECDSA-сертификатом “E1”, будут иметь цепочку с промежуточным сертификатом, у которого субъект “ISRG Root X2”, а издатель “ISRG Root X1”. Почти все сервера выберут для обслуживания эту цепочку, поскольку она обеспечивает наибольшую совместимость до тех пор, пока ISRG Root X2 не получит широкого доверия.

                    Сертификат подписания ответов OCSP

                    Этот сертификат используется для подписания ответов OCSP для промежуточных Центров Сертификации Let’s Encrypt. Таким образом нам не нужно иметь онлайне-доступ к корневому сертификату, чтобы подписать эти ответы. Копия сертификата подписания включена в ответ OCSP для информирования, дополнительно пользователям ничего делать не нужно.

                    • ISRG Root OCSP X1 ([Подписанный ISRG Root X1](https://crt. sh/? [der](/certs/isrg-root-ocsp-x1. der), [pem](/certs/isrg-root-ocsp-x1. pem), [txt](/certs/isrg-root-ocsp-x1. txt)

                    У наших новых промежуточных сертификатов нет OCSP URL-адресов (их информация об отзыве вместо этого используется CRL), поэтому мы не выпустили сертификат подписи OCSP от ISRG Root X2.

                    Прозрачность сертификата

                    В Let’s Encrypt мы в нацелены на прозрачность в наших процессах и в сертификатах, которые выпускаем. Мы записываем сертификаты в [журнал Certificate Transparency](https://www.certificate-transparency.org/) сразу, как только выпускаем их. Все наши сертификаты доступны по ссылкам:

                    • Выпущены Let’s Encrypt Authority X1
                    • Выпущены Let’s Encrypt Authority X3
                    • Выпущены Е1
                    • Выпущены R3

                    Помогите сделать Интернет безопасным и уважающим вашу конфиденциальность.

                    Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный для вас некоммерческой организацией Internet Security Research Group (ISRG).

                    548 Market St, PMB 77519 , San Francisco , CA 94104-5401 , USA

                    Все письма и запросы отправляйте по адресу:

                    PO Box 18666 , Minneapolis , MN 55418-0666 , USA

                    • GitHub
                    • Twitter
                    • Mastodon

                    Let’s Encrypt перейдут на цепочку с использованием сразу двух сертификатов

                    Совсем недавно веб-сайты с Let’s Encrypt (225 миллионов доменов) рисковали остаться без трафика с устройств на старых версиях Android (34% от всех девайсов). По заявлениям Let’s Encrypt они нашли выход из ситуации и IdenTrust выпустил для них новый трехлетний перекрестный знак для корня ISRG X1 со своего корневого центра сертификации DST X3. Но действительно ли владельцам сайтов с Let’s Encrypt можно расслабиться?

                    Истекающий срок действия корневого сертификата Let’s Encrypt означает, что каждое третье устройство Android (более 34% устройств используют версии 7.1.1 и ниже) будет заблокировано с миллионов сайтов, защищенных системой Let’s Encrypt.

                    Данная проблема – результат того, что Let’s Encrypt больше не использует перекрестную подпись со сторонним корневым сертификатом. Из-за этого посетители веб-сайтов на старых версиях Android будут заблокированы от доступа к сайтам, защищенным с помощью Let’s Encrypt.

                    Это определенно не то, что пользователи хотят видеть при посещении веб-сайта. Аналогично и владельцы сайтов не горят желанием, чтобы пользователи видели какие-либо предупреждения, которые могут посеять сомнения по поводу безопасности их страниц.

                    Что именно привело к такому повороту событий? Кого могут коснутся изменение? Что могут сделать владельцы сайтов, чтобы минимизировать ущерб?

                    Предыстория проблемы

                    Корни проблемы исходят из 2015 года, когда компания Let’s Encrypt была основана группой Internet Security Research Group (ISRG) и их партнерами. Поскольку могут потребоваться годы на то, чтобы все ОС и браузеры начали доверять их собственному сертификату, они подписали свои сертификаты перекрестно с доверенным корнем существующего ЦС (IdenTrust и их сертификатом DST Root X3), что является типичным поведением для новых центров сертификации.

                    Это позволило Let’s Encrypt немедленно начать выпуск сертификатов, которым можно было бы доверять в Интернете. Но перенесемся в наши дни: IdenTrust DST Root X3 приближается к дате истечения срока действия 30 сентября 2021 года.

                    Let’s Encrypt попыталась подготовиться к истечению срока действия, выпустив собственный корневой сертификат ISRG Root X1. К сожалению, у него пока нет того всеобъемлющего доверия, которое было у их корня IdenTrust, поэтому пользователи на некоторых старых платформах будут заблокированы от доступа к любому веб-сайту, который использует сертификат Let’s Encrypt SSL/TLS.

                    Кто именно пострадает?

                    Пользователи старых версий Android

                    Проблема затрагивает только устройства на старых платформах, что, казалось бы, не так страшно, но, к сожалению, их до сих пор использует большое количество людей.

                    Стоит уточнить, что основная проблема появилась не по вине Let’s Encrypt, а в медленном обновлении ПО для многих платформ.

                    Почему устройства на Android не обновляются?

                    Производители и операторы мобильной связи обычно подгоняют ОС под свои нужды перед тем, как устанавливать ее на девайсы и отдавать конечным пользователям. Когда Google выпускает новое обновление Android, производителям и операторам нужно сначала внести изменения в свои собственные версии ПО, а уже потом обновить своих клиентов. Вдобавок производители постоянно выпускают новые устройства, которые нужно продавать, а поэтому на устаревших моделях обновления ОС часто просто не работают. Вот почему в настоящее время есть миллионы устройств Android с устаревшими операционными системами.

                    Java

                    Старые версии Java также подвержены изменению корневого каталога. Любые клиенты, использующие версии Java до 1.8.0_141-b15, будут получать предупреждения или ошибки при обнаружении сертификатов Let’s Encrypt.

                    Пока это основные платформы, где ожидаются проблемы с совместимостью, но истечению срока действия root-прав могут обнаружится и другие.

                    Решение проблемы: два сертификата вместо одного

                    IdenTrust согласился выпустить трехлетний перекрестный знак для ISRG X1. Новый перекрестный знак немного необычный, так как действует после истечения срока действия DST Root CA X3. Это решение работает, потому что Android намеренно не устанавливает даты истечения срока действия сертификатов, используемых в качестве якорей доверия. Таким образом, Let’s Encrypt собирается предоставить своим подписчикам цепочку, содержащую как ISRG Root X1, так и DST Root CA X3, обеспечивая бесперебойное обслуживание всех пользователей и избегая потенциальных сбоев.

                    Ранее запланированное на 11 января переключение цепочки не состоялось, а переход на новую цепочку будет произведен в начале февраля. Тем не менее, во избежание возможных проблем совместимостью можно использовать следующие рекомендации:

                    Предложить посетителям обновить Android

                    Как вариант можно предупредить посетителей со старыми версиями Android о том, что нужно обновить их перед использованием вашего сайта, но:

                    • Пользователь – существо ленивое, а просьба обновить Android может привести к тому, что посетитель уйдет на другой сайт.
                    • Android обычно не обновляют не потому, что не хотят, а потому что не могут. Например, планшет или телефон не поддерживает новые версии, а просить пользователя купить новый девайс явно перебор.
                    Предложить использовать Firefox Mobile

                    Firefox Mobile полагается на собственный (регулярно обновляемый) список корневых сертификатов, а не на список операционных систем. Но заставить пользователя перейти на другой браузер, пожалуй, сложнее, чем заставить его обновиться.

                    Прекратить поддержку более старых версий

                    Можно прекратить поддержку более старых версий, но это может привести к:

                    • Сокращению трафика
                    • Увеличения запросов в службу поддержки
                    Владельцы сайтов на ACME

                    Владельцы сайтов, использующие ACME, могут изменить настройки своих клиентов, чтобы продолжать использовать сертификаты Let’s Encrypt с перекрестной подписью. Однако это будет работать только до сентября 2021 года. Тем не менее, это поможет выиграть время, чтобы разработать долгосрочное решение.

                    Наиболее практичным решением, не требующим каких-либо действий со стороны пользователя, является переключение на центр сертификации с повсеместными корнями, которым доверяют все основные платформы (включая старые системы). Сертификаты от доверенных и авторитетных органов власти используют свои собственные доверенные корни в течение многих лет и перекрестно подписывают с использованием своих старых корней для обеспечения полной совместимости.

                    image

                    • letsencrypt
                    • let’s encrypt
                    • lets encrypt
                    • центр сертификации
                    • сертификат безопасности

                    30 сентября: Let’s Encrypt и конец срока действия IdenTrust DST Root CA X3

                    30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.

                    Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. С учётом того, что на текущий момент Let’s Encrypt предоставляет бесплатные криптографические сертификаты примерно для 250 миллионов доменных имен, а «устаревшие системы» — это порой системы возрастом всего 5-6 лет, вряд ли окончание срока действия сертификата DST Root CA X3 пройдёт для всех гладко и незаметно. В чём причина, кого конкретно это затронет, и что можно сделать?

                    Немного теории и истории

                    Не углубляясь в детали, пару слов для неспециалистов, почему окончание срока действия сертификата DST Root CA X3 повлияет на сертификаты, выпущенные Let’s Encrypt. У каждой системы, проверяющей сертификат на валидность, есть своё хранилище доверенных корневых сертификатов. Система при проверке будет доверять сертификатам, которые подписаны с использованием закрытого ключа одного из этих корневых сертификатов. Сами корневые сертификаты как правило имеют длительные сроки действия, меняются редко и не используются при формировании сертификатов конечного субъекта (в данном случае, сертификатов для доменных имен), вместо этого инфраструктура открытых ключей, предполагает использование цепочек доверия — корневые сертификаты применяются для подписания промежуточных сертификатов, а уже с использованием них подписываются сертификаты конечного субъекта (сертификаты для доменов). При этом, для того, чтобы система доверяла конечному сертификату, она должна быть способна проследить всю цепочку от этого сертификата до одного из корневых сертификатов, которым она доверяет.

                    После появления проекта Let’s Encrypt, его корневой сертификат ISRG Root X1 (как и любой новый корневой сертификат) не мог быстро попасть в хранилища доверенных сертификатов заметного количества систем. При этом для успешного функционирования проекта выданным сертификатам с самого начала должно было доверять максимальное количество систем «из коробки» (без дополнительных действий со стороны пользователей этих систем). В связи с этим, для сертификатов Let’s Encrypt стала использоваться цепочка доверия, ведущая к корневому сертификату DST Root CA X3, который признается большинством систем:

                    • Windows >= XP SP3
                    • macOS (большинство версий)
                    • iOS (большинство версий)
                    • Android >= v2.3.6
                    • Mozilla Firefox >= v2.0
                    • Ubuntu >= precise / 12.04
                    • Debian >= squeeze / 6
                    • Java 8 >= 8u101
                    • Java 7 >= 7u111
                    • NSS >= v3.11.9
                    • Amazon FireOS (Silk Browser)
                    • Cyanogen > v10
                    • Jolla Sailfish OS > v1.1.2.16
                    • Kindle > v3.4.1
                    • Blackberry >= 10.3.3
                    • PS4 game console with firmware >= 5.00

                    К настоящему моменту корневой сертификат ISRG Root X1 существует уже более 5 лет и за это время попал в доверенные в большинстве современных систем, ему доверяют:

                    • Windows >= XP SP3 (при условии, что производилось автоматическое обновление корневых сертификатов)
                    • macOS >= 10.12.1
                    • iOS >= 10
                    • Android >= 7.1.1
                    • Mozilla Firefox >= 50.0
                    • Ubuntu >= xenial / 16.04 (с установленными обновлениями)
                    • Debian >= jessie / 8 (с установленными обновлениями)
                    • Java 8 >= 8u141
                    • Java 7 >= 7u151
                    • NSS >= 3.26

                    Для сертификатов Let’s Encrypt по умолчанию в данный момент предлагается такая цепочка доверия:

                    IdenTrust’s DST Root CA X3 -> ISRG Root X1 -> Let’s Encrypt R3 -> Конечный сертификат пользователя

                    Что произойдет 30 сентября?

                    Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?

                    Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let’s encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let’s Encrypt). За исключением Android >= v2.3.6, т.к. Android не учитывает срок действия своих доверенных корневых сертификатов.

                    Проблема с доверием возникнет также у систем, использующих OpenSSL версии меньше 1.1.0. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1.0.x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1.0.x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.

                    Что со всем этим делать?

                    На стороне клиента

                    Linux

                    Для того, чтобы проверить, как поведёт себя ваша система при обращении к сайтам, использующим сертификаты Let’s Encrypt, после 30 сентября, можно воспользоваться утилитой faketime. В Debian и Ubuntu она доступна в пакете faketime.

                    faketime -f ‘@2021-10-01 00:00:00’ curl https://letsencrypt.org/

                    Если всё в порядке, curl вернёт содержимое страницы, если же нет — выдаст сообщение об ошибке:

                    curl: (60) server certificate verification failed.

                    В этом случае нужно убедиться, что:

                    1. Ваша система доверяет ISRG Root X1
                    2. Вы не пользуетесь устаревшей версией OpenSSL

                    Проверка доверия к ISRG Root X1

                    Например, Ubuntu 16.04 xenial и Debian 8 jessie доверяют ISRG Root X1, но при этом поставляются с OpenSSL 1.0.x, поэтому проблема их может коснуться.

                    Чтобы проверить наличие сертификата ISRG Root X1 в числе доверенных:

                    В выводе команды в обоих случаях должно присутствовать:

                    subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1

                    Если такой строчки нет, то нужно добавить ISRG Root X1 в доверенные. В Debian/Ubuntu:

                    curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | sudo tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt

                    добавить в файл /etc/ca-certificates.conf строчку:

                    и выполнить комнаду

                    Проверка версии OpenSSL

                    Если система доверяет ISRG Root X1, нужно проверить версию OpenSSL

                    В выводе должна быть версия 1.1.0 или новее.

                    Если используется OpenSSL 1.0.x, то достаточным решением проблемы будет удалить из доверенных сертификат DST Root CA X3 (это решение может не сработать для openssl версий . Это можно сделать, не дожидаясь 30 сентября.

                    В файле /etc/ca-certificates.conf нужно найти строчку:

                    и поставить в начало сроки символ «!»:

                    Далее, необходимо выполнить команду:

                    trust dump —filter «pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10» | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

                    Локальное продление срока действия сертификата DST Root CA X3

                    Для тех случаев, когда используется совсем старый openssl (версии меньше 1.0.1p и 1.0.2d, но новее 0.9.8m), или по иной причине не срабатывает метод с изъятием из доверенных сертификата DST Root CA X3, можно воспользоваться еще одним методом, предложенным в статье Scott’а Helme. Метод основан на том, что OpenSSL, начиная с версии 0.9.8m, не проверяет сигнатуру сертификатов, хранящихся в локальном защищенном хранилище. Таким образом, можно изменить время действия сертификата в защищенном хранилище, при этом модифицированный сертификат будет по-прежнему восприниматься OpenSSL как валидный. Для того, чтобы продлить для OpenSSL на системе срок действия сертификата DST Root CA X3 еще на три года можно выполнить следующие команды:

                    sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/DST_Root_CA_X3.pem

                    sudo sed -i «s/xMDkzMDE0MDExNVow/0MDkzMDE4MTQwM1ow/g» /etc/ssl/certs/ca-bundle.crt

                    Не забудьте проверить так же все ваши контейнеры. У них свои хранилища корневых сертификатов и могут использоваться другие версии openssl

                    Windows

                    Для пользователей, у которых не подключены автоматические обновления корневых сертификатов, можно добавить сертификат ISRG Root X1 вручную. Для этого нужно скачать сертификат с сайта LetsEncrypt по ссылке https://letsencrypt.org/certs/isrgrootx1.der.

                    Открыть скачанный файл, в открывшемся окне выбрать «Установить сертификат. «:

                    В мастере импорта сертификатов выбрать «Локальный компьютер»:

                    Выбрать «Поместить все сертификаты в следующее хранилище», в диалоге выбора хранилища, открывающемся по кнопке «Обзор. «, выбрать «Доверенные корневые центры сертификации»:

                    На последнем шаге мастера нажать кнопку «Готово».

                    После выполнения этой последовательности шагов, сертификат должен появиться в защищенном хранилище. Чтобы проверить это, нужно нажать комбинацию клавиш «Win+R», откроется диалог «Выполнить», в котором нужно ввести certmgr.msc

                    В открывшемся окне в подразделе «Сертификаты» раздела «Доверенные корневые центры сертификации» в списке должен появиться сертификат ISRG Root X1:

                    На стороне сервера

                    На стороне сервера от вас мало что зависит. Если вы используете сертификаты от Let’s Encrypt на своем сервере, то должны понимать, что после 30 сентября 2021 14:01:15 GMT к вашему серверу смогут без проблем подключиться только клиенты, доверяющие ISRG Root X1 (см. список выше), а также использующие Android >= v2.3.6. При этом, если клиенты используют OpenSSL, то они должны пользоваться версией OpenSSL >= 1.1.0.

                    При этом, у вас есть выбор — ценой отказа от поддержки старых Android (оставив поддержку Android >= 7.1.1), вы можете сохранить поддержку OpenSSL 1.0.x без манипуляций на стороне клиента.

                    Для этого нужно использовать предлагаемую Let’s Encrypt альтернативную цепочку доверия для своих сертификатов. В этой цепочке исключен DST Root CA X3 и выглядит она так:

                    ISRG Root X1 -> Let’s Encrypt R3 -> Конечный сертификат пользователя

                    Для переключения на альтернативную цепочку нужно воспользоваться документацией вашего ACME-клиента. В частности, в certbot за возможность выбора альтернативной цепочки отвечает параметр —preferred-chain.

                    Итоги

                    30 сентября после окончания срока действия сертификата DST Root CA X3 часть пользователей старых устройств столкнутся с тем, что не смогут корректно открывать сайты, использующие сертификаты Let’s Encrypt. Я бы выделил в первую очередь пользователей старых устройств Apple, для которых нет возможности обновиться хотя бы на iOS 10. Кроме того, под раздачу могут попасть различные устройства IoT, старые телевизоры и подобные им устройства, для которых не существует обновлений с новыми корневыми сертификатами.

                    В то же время, для администраторов серверов с не очень современным софтом, которые могут взаимодействовать с сервисами, использующими сертификаты Let’s Encrypt, еще есть несколько дней на то, чтобы всё проверить и подготовиться к часу X.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *