Добавление корневых сертификатов Letsencrypt на Ubuntu, Centos, Windows 7
Ниже представлена инструкция для Windows 7, Ubuntu и Centos 7, которая позволит исправить ошибку letsencrypt.
1. Если у вас возникает ошибка доступа к сайтам, в связи с истечением сертифика IdenTrust DST Root CA X3 на старых системах.
2. Если вы получаете ошибки git:
fatal: unable to access ‘https://domain/git/repository/’: Peer’s Certificate issuer is not recognized.
То следует установить корневые сертификаты Letsencrypt. Список корневых сертификатов представлен на странице https://letsencrypt.org/certificates/
Почему перестали открываться сайты на старых компьютерах и смартфонах?
Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами. В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID.
Сертификат IdenTrust DST Root CA X3 выпущен некоммерческим удостоверяющим центром Let’s Encrypt, который предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает зашифрованную передачу данных между узлами компьютерной сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не может.
Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.
/ Ошибка установки SSL-соединения с сертификатом Let’s Encrypt
Начиная с сегодняшнего дня, 30 сентября 2021 года при попытке соединения с сервером по шифрованным протоколам SSL/TLS могут возникать ошибки:
SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.
или другая аналогичная, сообщающая о невозможности установки защищённого соединения. Причина заключается в истечение сегодня срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра (УЦ) Let’s Encrypt. Этим УЦ выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имён), используемых в сети на веб-сайтах, почтовых серверах и других сервисах. Так как срок действия сертификата действителен не позднее 30 сентября 2021 14:01:15 GMT, после этой даты устройства и программы более не могут доверять ему и соединения не будут устанавливаться.
Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако, устройства и операционные системы, не получающие обновления цепочки сертификатов, могут не иметь его в списке доверенных и столкнутся с ошибками SSL соединения. Список такого ПО и операционных систем:
- Android до версии 7.1.1;
- Windows до XP Service Pack 3;
- iOS-устройств до версии iOS 10;
Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.
Please be aware that the «IdenTrust DST Root CA X3» root expiring on 9/30/2021 has been replaced with the «IdenTrust Commercial Root CA 1» self-signed root which is also trusted by the major browsers and root stores since 1/16/2014. You may download the IdenTrust Commercial Root CA 1 at this link: Root Certificate Download.
If you have appliances that are not dynamically updating the root trust chain, they need to be manually updated with the self-signed «IdenTrust Commercial Root CA 1» which can be downloaded at this link: Root Certificate Download.
Federal CA Certificates
Federal CA Root Certificate Download — All certificate types
DoD ECA
DOD ECA Root Certificate Download — All certificate types
IdenTrust ECA S23 CA Certificate Download — All certificate types
IdenTrust Global Common (IGC)
IGC Root Certificate Download – for Individual and Affiliated Certificates
IGC Root Certificate Download – for Device Certificates
IdenTrust SAFE-BioPharma
IdenTrust SAFE-BioPharma Root Certificate Download
IdenTrust Commercial
IdenTrust Publicly Trusted Roots Test Certificates Page
IdenTrust Commercial Root Certificate Download – for Individual and Business Certificates
IdenTrust Commercial Root Certificate Download – for TLS/SSL Certificates
IdenTrust Public Sector
IdenTrust Public Sector Root Certificate Download – for Individual and Business Certificates
TrustID HID Enterprise CA 1
DST Root CA X3 Cross-Signing with IdenTrust Commercial CA 1 Chain Details
DST Root CA X3-IdenTrust Commercial CA 1 Chain Download
Если вы технический специалист, не хотите читать ничего лишнего, а просто желаете получить готовое решение, переходите сразу к этому разделу.
Статья сугубо техническая, несмотря на вольный и слегка художественный стиль повествования в самом начале. В ней приводятся несколько проверенных решений реально существующей проблемы, появившейся незадолго до написания статьи и затронувшей миллионы устройств по всему миру.
Инженер не должен все знать. Он должен знать, где найти решение.
Итак, свершилось! В очередной раз где-то на неизвестной горе засвистел герой народных присказок, известный как Рак, в то время как другой герой этих же присказок, даже пребывая в жаренном состоянии, начал клевать ягодицы расслабленных пользователей интернета под обеспокоенным взором крестящихся мужиков, напуганных очередным раскатом грома.
Конец света (по мнению многих обывателей) начался буднично. В красивый и приятный осенний день 1 октября 2021 года, который пришелся на всегда ожидаемую из-за предстоящих выходных и слегка сумбурную из-за начала нового месяца пятницу, многочисленные пользователи довольно-таки старых, но все еще бережно хранимых и даже, пусть со скрипом, но вполне себе работающих устройств, вдруг не смогли зайти на свои любимые сайты.
Вот представьте: хотите вы с утра включить онлайн радио и послушать музыку, а взамен получаете сообщение “Ваше подключение не является приватным”. Или вам по работе позарез нужно зайти на определенный сайт со своей учетной записью, а вместо этого вы видите на экране “Часы спешат. Не удалось установить защищенное соединение с доменом из-за неверных настроек системных часов и календаря”. Вы пытаетесь хотя бы почитать новости, но при попытке открыть сайт по ссылке страница просто не загружается. Как работать в таких условиях? Чем не конец света?
На самом деле причина таких ошибок проста и очевидна: вы используете устаревшую технику и такие же устаревшие технологии. Неважно, почему — у каждого есть свои причины и никто здесь не собирается их оспаривать. Важно, что из-за этого становится недоступной значительная часть информации и невозможной определенная деятельность в сети интернет. Давайте для начала установим причину такого положения дел.
Если при заходе на сайт появляется предупреждение с красным значком «Подключение не защищено, срок действия сертификата истек» – тогда возможно причина в том, что устарел сертификат IdenTrust DST Root CA X3 на Вашем устройстве. Особенно это актуально для старых устройств, например, для ПК с системой Windows XP или Windows 7.
В новых устройствах сертификаты обновлены или же там нет такой необходимости, а некоторые старые устройства попросту игнорируют проверку срока действия сертификатов, например, некоторые версии системы Android. Даже довольно новые умные телевизоры могут столкнуться с этой ошибкой, если разработчики их ПО не позаботились об обновлении сертификатов — тогда потребуется обновление прошивки ТВ или ручная замена сертификатов. Например, в смарт-ТВ LG стандартный браузер может не открывать сайты с сертификатами от Let’s Encrypt по этой причине.
Еще проблема может возникнуть у систем, которые используют версию OpenSSL, меньшую чем 1.1.0 — это происходит потому, что происходит проверка всех сертификатов и присутствие просроченного дает отказ в проверке безопасности соединения. Стоит упомянуть, что некоторые браузеры имеют свое хранилище сертификатов и поэтому могут открывать сайты без ошибок, несмотря на истекший сертификат. Например, браузер Mozilla Firefox.
Всё вышеописанное стало актуально 30.09.2021, когда заканчивается срок действия сертификата IdenTrust DST Root CA X3. Это корневой сертификат, который используется для формирования защищенных подключений. Особенно это важно для сайтов, использующих бесплатные сертификаты Let’s Encrypt. Эти бесплатные сертификаты ссылаются на корневой IdenTrust DST Root CA X3, так как он присутствует в большинстве ОС. Хотя для Let’s Encrypt создан свой корневой сертификат ISRG Root X1, но пока набиралась популярность бесплатных Let’s Encrypt, он не мог быстро попасть во все системы.
Как исправить проблему с истекшим сертификатом? Для этого потребуется удалить старый сертификат и установить новый. Выполнить данную операцию можно на тех устройствах, которые позволяют это сделать. Например, на ПК с MS Windows 7.
Скачивать потребуется сертификат под названием ISRG Root X1, желательно только с официального сайта letsencrypt.org. Сертификат имеет полное название ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1) и доступен по ссылкам:
— https://letsencrypt.org/certs/isrgrootx1.der, в формате DER;
— https://letsencrypt.org/certs/isrgrootx1.pem, в формате PEM.
Также возможно понадобится сертификат Let’s Encrypt R3 (RSA 2048, O = Let’s Encrypt, CN = R3), доступный по ссылкам ниже:
— https://letsencrypt.org/certs/lets-encrypt-r3.der, в формате DER;
— https://letsencrypt.org/certs/lets-encrypt-r3.pem, в формате PEM.
Установка сертификата достаточно проста:
1. Открыть скачанный сертификат и нажать «Установить сертификат».
3. Последний этап — нажать кнопку «Готово», что приведет к добавлению сертификата в устройство.
Управление сертификатами в MS Windows производится при помощи специальной программы, которую можно запустить следующим образом: нажать сочетание клавиш Win + R и написать certmgr.msc, после чего нажать Enter.
Это понадобится для того, чтобы вручную удалить истекший сертификат IdenTrust DST Root CA X3, а также для контроля успешности операции добавления новых сертификатов – они должны появиться в разделе «Доверенные корневые центры сертификации», подраздел «Сертификаты».
Там же необходимо найти старый сертификат и выполнить его удаление.
После этих процедур можно выполнить перезагрузку ПК или сразу проверить работу ранее неоткрывавшихся сайтов с ошибкой SSL. Сайты должны открываться, но время их открытия может стать немного большим, так как при каждом запросе происходит поиск нового сертификата в хранилище.
Таким образом, проблема с открытием сайтов решается установкой нового сертификата.
On September 30 2021, most of the old internet connected devices reported issues in connecting websites and online services after the DST Root CA X3 certificate expired, especially those using Let’s Encrypt SSL certificates. This is not the first time that an incident like this is happening. On May 30 2020, the AddTrust External CA Root has expired which resulted in a bunch of organisations and people that used outdated OS suffered.
You can see large number of websites that you use daily are using Let’s Encrypt free SSL certificates for encrypting data between your device and the server. SSL stands for Secure Sockets Layer which is a security technology that is commonly used to secure server to browser data transactions.
Being the CEO of an IT Company and a cyber expert, I heard a lot of complaints from our global clients, friends and relatives regarding this issue. So I’m writing this blog post regarding how to fix it.
What is Let’s Encrypt?
Let’s Encrypt is a non-profit organisation that issues SSL certificates to encrypt connections between the web server and your device. Whenever you enter a website that starts with HTTPS is a secure one and the credit for the security goes to the IdentTrust DST Root CA X3 certificate. The SSL certificate ensures your data is secure on the internet and prevents hackers and cyber criminals from misusing your personal or sensitive information.
The Problem
Let’s Encrypt originally used the “DST Root CA X3” certificate to issue Let’s Encrypt certificates. However, as time has passed and the service has been used more, they now use “ISRG Root X1” and “ISRG Root X2” as Root CA’s and “Let’s Encrypt R3” as an intermediate certificate.
The Fix
To fix this issue, you need to add the 2 new Root CAs to your computer or device, along with the Intermediate CA. Download the below 3 certificates to your device.
Root CA Certificates (PEM format):
Intermediate Certificate (PEM format):
After downloading and adding these Root CAs and the Intermediate CA to your computer or device, you should have the full certificate chain to validate the Let’s Encrypt certificates. The Let’s Encrypt certificates that are used on websites that you visit and that you might have deployed on your servers should now work without any issues.
If you’re still having issues, you can try deleting the “DST Root CA X3” certificate from your existing Root CAs. Also, you may need to clear cache and cookies on your browser and reboot your device.
Solution for Macbook, MacOS
DST root ca x3 expiration solution macOS
Adding ISRG Root X2 Certification to ‘Always Trust’ in Macbook, MacOS
Solution for Windows
Upon completing the wizard, you next want to add the certificate snap-ins using the Microsoft Management Console (MMC).
Adding certificate snap-ins
If Chrome says the security certificate is from the same domain you are attempting to login to, it is likely there is nothing to worry about when this warning appears.
Option 2 – Prevent Warning
Disable HSTS Disable HSTS in your Apache or Nginx Configuration by adding a # to it like below and reboot your server
#add_header Strict-Transport-Security «max-age=31536000»;
The above will disable strict security policy check so that web browsers allows to proceed to the unsecured website by clicking on a link on browser error page bottom under Advanced button.
ОС Ubuntu 16
Пропишите новые сертификаты в конфигурационном файле:
После выполнения команды должно вывести информацию об успешной установки трех новых сертификатов:
Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-certificates.crt
Android
Устройства с версиями ОС Android до 7.1.1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
При перепубликации статьи установка активной индексируемой
гиперссылки на источник — сайт обязательна!
Как еще можно открывать сайты на старых компьютерах и смартфонах?
Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.
Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!
Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?
К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.
Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.
Что делать, если сайт не открывается на старом компьютере или телефоне?
Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно далеко не каждому.
Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.
К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.
Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.
Не совсем по теме
К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% – Windows 7 и 20-30% – Windows 10. Иногда встречаются Windows 8 и Windows 8.1, а вот Mac и Linux – реально единицы.
Перезапуск сервисов
После настройки корневого сертификата следует перезапустить некоторые программы.
systemctl restart docker
Windows 7
Контрольные суммы сертификата:
2. Перейдите на вкладку chrome://settings/
3.Откройте пункт Конфиденциальность и Безопасность и выберите раздел безопасность
4. Откройте пункт Настроить сертификаты
5. Выберите пункт Доверенные корневые центры сертификации
6. Нажмите на кнопку Импорт
7. Нажмите обзор и выберите загруженный файл.
8. В выпадающем списке нужно выбрать все файлы
8. Убедитесь что установка идет в Доверенные корневые центры сертификации.
9. Нажмите готово
10. В окне предупреждения безопасности нужно ответить да
11. Импорт успешно завершен
12. Перезагрузите компьютер.
IOS (iPhone и iPad с ОС до 10 версии)
Установите программу для работы с сертификатами:
yum install ca-certificates
update-ca-trust force-enable
wget «https://letsencrypt.org/certs/isrgrootx1.pem» -O»/etc/pki/ca-trust/source/anchors/lets-encrypt-isrgrootx1.pem»
Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-bundle.crt
В Windows установить корневой сертификат ISRG Root X1 можно запустив оснастку «Сертификаты» командой:
и импортировав в корневые сертификаты учётной записи компьютера файл сертификата.
Ручное обновление корневых сертификатов
Итак, при попытке соединения с сервером по шифрованным протоколам SSL/TLS (то есть, по протоколу HTTPS) может возникать ошибка:
Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.
Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:
Установка корневого сертификата в ОС Windows, iOS, Linux, Android
Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.
Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.
В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.
Что касается ОС Android до 7.1.1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.
Обновление всех сертификатов безопасности на старых версиях Windows
Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.
В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.
Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.
Быстрый и простой способ обновления сертификатов Windows
Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.
Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.
Списки сертификатов получены с официального сайта Microsoft 1.10.2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.
Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.