Новият Root сертификат на Let's Encrypt и последствията от него

Jump.BG

ОБНОВЕНА: 13.10.2021

Възможно е безплатните SSL сертификати, които се използват на споделения ни хостинг, да изпитват затруднения с по-стари платформи (операционни системи, браузъри и програмни приложения). Това се дължи на новата удостоверителна верига (root certificate) на Let’s Encrypt, която е в сила от 01.10.2021 г., наречена “ISRG Root X1”. Този root сертификат вече е имплементиран в по-новите браузъри и устройства и на тях не би следвало да има затруднения с правилното функциониране на Вашите сайтове.

На 30.09.2021 г. изтече валидността на старата удостоверителна верига на  Let’s Encrypt (DST Root CA X3), което доведе до визуализиране на грешка за невалиден SSL сертификат при достъпване на самите сайтове или при използване на електронните пощи.  За съжаление и cPanel, компанията, която е създател и поддържа контролния панел, който се използва на споделения хостинг, изпита затруднение с имплементирането на новия root сертификат, което предизвика известна паника сред ползвателите на Let’s Encrypt сертификатите на споделения хостинг. Към момента има временно решение на този казус, което е приложено на всичките ни споделени сървъри, и се очаква съвсем скоро да има и постоянно такова.

От Let’s Encrypt предоставиха списък с операционни системи, браузъри и програмни приложения, които могат да работят с новия сертификат и засегнатите такива:

Устройства, които са съвместими с новия сертификат:
Устройства, които НЕ са съвместими с новия сертификат:
  • macOS < 10.12.1
  • iOS < 10
  • Mozilla Firefox < 50
  • Ubuntu >= precise / 12.04 и < xenial / 16.04
  • Debian >= squeeze / 6 и < jessie /8
  • Java 8 >= 8u101 and < 8u141
  • Java 7 >= 7u111 and < 7u151
  • NSS >= v3.11.9 and < 3.26
  • Amazon FireOS (Silk Browser) 
  • Cyanogen > v10 
  • Jolla Sailfish OS > v1.1.2.16 
  • Kindle > v3.4.1 
  • Blackberry >= 10.3.3 
  • PS4 game console with firmware >= 5.00 
  • Blackberry < v10.3.3
  • Android < v2.3.6
  • Nintendo 3DS
  • Windows XP преди SP3 
  • Java 7 < 7u111
  • Java 8 < 8u101
  • Windows Live Mail (2012 имейл клиента, но не и webmail)
  • PS3 game console
  • PS4 game console with firmware < 5.00

Важно! Към момента браузъри, като Chrome, Safari, Edge, Opera, използват root сертификатите, които се използват и от самата операционна система. Единствено Firefox прави изключение, като той разполага със собствен набор от root сертификати (root store)

Ако Вашето приложение предоставя API връзка или поддържа IoT (Internet of Things) устройства, трябва да се уверите в следните 2 точки:

  1. Всички клиенти, които използват Вашето API, трябва да могат да удостоверят новия ISRG Root X1 сертификат.
  2. Ако клиентите Ви, които използват Вашето API, използват OpenSSL, трябва да използват версия 1.1.0 или по-нова, тъй като в по-стари версии не могат да удостоверят ISRG Root X1 сертификата.

Към момента на писане на тази статия алтернативно решение, което приложихме и за нашия сайт Jump.BG, е Sectigo PositiveSSL сертификат, който може да откриете тук:

https://www.jump.bg/ssl.html#sectigo

Източници:

https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

https://letsencrypt.org/docs/certificate-compatibility/