У одного из крупнейших поставщиков сертификатов HTTPS, Let’s Encrypt, 30 сентября истек срок действия корневого сертификата IdentTrust DST Root CA X3. Некоторые старые устройства могут столкнуться с проблемами в работе. Let's Encrypt выдает сертификаты, которые шифруют соединения между пользовательскими устройствами и Интернетом, гарантируя, что никто не сможет перехватить данные. На Let's Encrypt полагаются миллионы сайтов. Исследователь безопасности Скотт Хелми предупредил, что по истечении срока действия IdentTrust DST Root CA X3 некоторые старые устройства могут столкнуться с проблемами, как и в случае, когда в мае истек срок действия AddTrust External CA Root. Истечение срока действия сертификата может повлиять на устройства, которые не обновляются регулярно, например встроенные системы, не предназначенные для автоматического обновления, или смартфоны с устаревшими версиями программного обеспечения. Пользователи более старых версий macOS и Windows XP (с пакетом обновления 3) могут столкнуться с проблемами вместе с клиентами, зависящими от OpenSSL 1.0.2 или более ранней версии, а также более старыми PlayStation, которые не были обновлены до новой прошивки. У Android существует проблема с обновлениями ОС, но в Let’s Encrypt нашли обходной путь, который может предотвратить проблемы с большинством смартфонов. В этом году организация перешла на собственный сертификат ISRG Root X1, срок действия истекает в 2035 году. Хотя многие устройства Android до сих пор не доверяют этому сертификату, а именно версии Android (Nougat) 7.1.1 и более ранние, Let's Encrypt получил сертификат перекрестной подписи. Таким образом, большинство устройств Android должны продолжать исправно работать. Однако, устройства и операционные системы, не получающие обновления цепочки сертификатов, могут не иметь его в списке доверенных и столкнутся с ошибками SSL соединения. Список такого ПО и операционных систем: Android до версии 7.1.1; Mozilla Firefox до 50.0; MacOS 10.12.0 и старше; Windows XP (с Service Pack 3); iOS-устройств до версии iOS 10; OpenSSL 1.0.2 и ниже; Ubuntu до версий 16.04; Debian 8 и старше. Способы решения Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных. К примеру, для многих старых Android-смартфонов существуют кастомные прошивки на базе современных версий ОС. Самый очевидный способ не лишиться интернета – это отказаться от использования устаревшего гаджета и заменить его актуальной моделью. Еще один способ - использовать современную версию браузера Firefox, поскольку у него есть собственное хранилище актуальных корневых сертификатов. Однако этот способ подойдет далеко не всем. Например, актуальная на 29 сентября 2021 г. версия Firefox для смартфонов поддерживала ОС Android не ниже версии 5.0 Nougat. Windows 7 В Windows установить корневой сертификат ISRG Root X1 можно запустив оснастку "Сертификаты" командой: mmc /i и импортировав в корневые сертификаты учётной записи компьютера файл сертификата. iOS (iPhone и iPad с ОС до 10 версии) Скачайте файл сертификата ISRG Root X1 на устройство. Перейдите в «Настройки» -> «Основные» -> «Профили и управление устройством» выберите сертификат ISRG Root X1 и нажмите «Установить». В Настройки» -> «Основные» -> «Доверие сертификатов» включите «Доверять корневым сертификатам полностью». Android Устройства с версиями ОС Android до 7.1.1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется. Источники: https://tendence.ru/news/oshibka-ustanovki-ssl-soedineniya-s-sertifikatom-let-s-encrypt https://habr.com/ru/news/t/580818/