ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let’s Encrypt

29 октября 2021

Прошёл месяц после окончания срока действия корневого сертификата IdentTrust DST Root CA X3 у Let’s Encrypt. Но еще не все старые железки откопаны. И скорее всего проблемы всплывут еще не раз. Поэтому зафиксирую решение, возможно кому-то пригодится.

Что произошло

30 сентября 2021 г. у Let’s Encrypt закончился срок действия корневого сертификата IdentTrust DST Root CA X3. Так как это единственный доступный бесплатный сертификат, он установлен на большинстве сайтов. И вот с октября с этим сертификатом начались проблемы. Кому интересны технические нюансы, на Хабре об этом была подробная статья.

У одного из крупнейших поставщиков сертификатов HTTPS, Let’s Encrypt, 30 сентября истек срок действия корневого сертификата IdentTrust DST Root CA X3. Некоторые старые устройства могут столкнуться с проблемами в работе.

Хабр

У меня железо относительно свежее и проблема лично меня не коснулась. Но легли несколько сайтов, пришлось перевыпускать сертификаты. И сейчас не понятно, что будет дальше. Сертификаты Let’s Encrypt никогда не отличались особой надежностью и были больше номинальными: чтобы не ругались браузеры, поисковики, чтобы пользователи верили в безопасность посещения сайта. Сейчас риски использования сертификатов Let’s Encrypt многократно возросли. Поэтому, использовать их на каких-то серьезных ресурсах идея не очень. Просто знайте об этом.

Итак, локально проблема может всплыть на старых операционках. Конкретно если ОС старше следующих версий:

  • Мак-ос 10.12.1
  • Виндоус XP SP3
  • Ай-ос 10
  • Андроид 7.1
  • Убунту 16.04
  • Дебиан 8

Под раздачу попали также старые модели смарт-ТВ, игровые приставки (Sony Playstation, Xbox) и разные умные домашние устройства, использующие интернет. Все не перечислишь.

Решение

На компьютерах и смартфонах проблема выглядит следующим образом: при открытии некоторых сайтов независимо от браузера, возвращается ошибка net::ERR_CERT_DATE_INVALID. Ошибка исчезает, если перевести назад время и установить дату меньше 30 сентября 2021 года. Понятно, что проблема связана со сроком действия SSL-сертификата. Решается она очень просто. Принцип решения на всех ОС одинаковый. Нужно зайти на официальный сайт Let’s Encrypt, скачать корневой сертификат ISRG Root X1 и установить его в систему. На разных ОС делается это немного по разному. Остановимся на основных из них: Мак-ос, Виндоус, Ай-ос и Андроид.

Мак-ос

  • Скачать обновленный корневой сертификат ISRG Root X1 (pem).
  • Импортировать сертификат в Keychain (связку ключей). Система ругнётся, что к сертификату нет доверия, но нужно подтвердить, введя системный пароль.
  • Открыть свойства сертификата, перейти: «Доверие» ⟶ «Протокол защищенных сокетов (SSL)» и установить «Всегда доверять». Остальное можно не трогать и оставить «Значение не указано».
ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let's Encrypt
Установка сертификата в Мак-ос

Виндоус

  • Скачать обновленный корневой сертификат ISRG Root X1 (der).
  • Открыть сертификат кликнув по нему и нажать на кнопку «Установить сертификат».
ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let's Encrypt
Сведения о сертификате Виндоус
  • Откроется мастер импорта сертификатов, нужно кликнуть «Далее», в окне импорта выбрать «Поместить все сертификаты в следующее хранилище», найти в списке и выбрать «Доверенные корневые центры сертификации», нажать «Далее».
ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let's Encrypt
Мастер импорта сертификатов Виндоус
  • Затем останется только подтвердить и согласиться с системой безопасности на установку сертификата в систему.

Процедура хоть и мудренее, чем на Мак-ос, но не сложнее.

Ай-ос

  • Скачать обновленный корневой сертификат ISRG Root X1 (der), разрешив при этом загрузку, естественно.
  • Открыть настройки, в самом верху будет сообщение «Профиль загружен», зайти в него и нажать «Установить»
ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let's Encrypt
Установка сертификата в Ай-ос

Как видим, проще простого.

Андроид

Любителям зеленого робота повезло чуть больше и у них есть ещё три года. Конечно, при условии, что они за это время не перейдут в армию поклонников огрызка.

В общем, Let’s Encrypt каким-то образом удалось договориться с IdenTrust о выпуске кросс-подписи истекшего DST Root CA X3 до 2024 года.

Всем успехов!

Иван Данилин
Автор Иван Данилин

Фулстек веб‑разработчик, специализируюсь на платформе WordPress

Подробнее
Комментарии
  1. Спасибо Вам огромное! Очень помогла Ваша статья! Вернули к жизни старый айфон )))
  2. У меня из за сертификата старого не дает зайти на официальный сайт что бы скачать, что делать
Добавить комментарий