ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let’s Encrypt

29 октября 2021

Прошёл месяц после окончания срока действия корневого сертификата IdentTrust DST Root CA X3 у Let’s Encrypt. Но еще не все старые железки откопаны. И скорее всего проблемы всплывут еще не раз. Поэтому зафиксирую решение, возможно кому-то пригодится.

Что произошло

30 сентября 2021 г. у Let’s Encrypt закончился срок действия корневого сертификата IdentTrust DST Root CA X3. Так как это единственный доступный бесплатный сертификат, он установлен на большинстве сайтов. И вот с октября с этим сертификатом начались проблемы. Кому интересны технические нюансы, на Хабре об этом была подробная статья.

У одного из крупнейших поставщиков сертификатов HTTPS, Let’s Encrypt, 30 сентября истек срок действия корневого сертификата IdentTrust DST Root CA X3. Некоторые старые устройства могут столкнуться с проблемами в работе.

Хабр

У меня железо относительно свежее и проблема лично меня не коснулась. Но легли несколько сайтов, пришлось перевыпускать сертификаты. И сейчас не понятно, что будет дальше. Сертификаты Let’s Encrypt никогда не отличались особой надежностью и были больше номинальными: чтобы не ругались браузеры, поисковики, чтобы пользователи верили в безопасность посещения сайта. Сейчас риски использования сертификатовLet’s Encrypt многократно возросли. Поэтому, использовать их на каких-то серьезных ресурсах идея не очень. Просто знайте об этом.

Итак, локально проблема может всплыть на старых операционках. Конкретно если ОС старше следующих версий:

  • Мак-ос 10.12.1
  • Виндоус XP SP3
  • Ай-ос 10
  • Андроид 7.1
  • Убунту 16.04
  • Дебиан 8

Под раздачу попали также старые модели смарт-ТВ, игровые приставки (Sony Playstation, Xbox) и разные умные домашние устройства, использующие интернет. Все не перечислишь.

Решение

На компьютерах и смартфонах проблема выглядит следующим образом: при открытии некоторых сайтов независимо от браузера, возвращается ошибка net::ERR_CERT_DATE_INVALID. Ошибка исчезает, если перевести назад время и установить дату меньше 30 сентября 2021 года. Понятно, что проблема связана со сроком действия SSL-сертификата. Решается она очень просто. Принцип решения на всех ОС одинаковый. Нужно зайти на официальный сайт Let’s Encrypt, скачать корневой сертификат ISRG Root X1 и установить его в систему. На разных ОС делается это немного по разному. Остановимся на основных из них: Мак-ос, Виндоус, Ай-ос и Андроид.

Мак-ос

  • Скачать обновленный корневой сертификат ISRG Root X1 (pem).
  • Импортировать сертификат в Keychain (связку ключей). Система ругнётся, что к сертификату нет доверия, но нужно подтвердить, введя системный пароль.
  • Открыть свойства сертификата, перейти: «Доверие» ⟶ «Протокол защищенных сокетов (SSL)» и установить «Всегда доверять». Остальное можно не трогать и оставить «Значение не указано».
ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let's Encrypt
Установка сертификата в Мак-ос

Виндоус

  • Скачать обновленный корневой сертификат ISRG Root X1 (der).
  • Открыть сертификат кликнув по нему и нажать на кнопку «Установить сертификат».
ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let's Encrypt
Сведения о сертификате Виндоус
  • Откроется мастер импорта сертификатов, нужно кликнуть «Далее», в окне импорта выбрать «Поместить все сертификаты в следующее хранилище», найти в списке и выбрать «Доверенные корневые центры сертификации», нажать «Далее».
ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let's Encrypt
Мастер импорта сертификатов Виндоус
  • Затем останется только подтвердить и согласиться с системой безопасности на установку сертификата в систему.

Процедура хоть и мудренее, чем на Мак-ос, но не сложнее.

Ай-ос

  • Скачать обновленный корневой сертификат ISRG Root X1 (der), разрешив при этом загрузку, естественно.
  • Открыть настройки, в самом верху будет сообщение «Профиль загружен», зайти в него и нажать «Установить»
ERR_CERT_DATE_INVALID: как дальше жить без корневого сертификата Let's Encrypt
Установка сертификата в Ай-ос

Как видим, проще простого.

Андроид

Любителям зеленого робота повезло чуть больше и у них есть ещё три года. Конечно, при условии, что они за это время не перейдут в армию поклонников огрызка.

В общем, Let’s Encrypt каким-то образом удалось договориться с IdenTrust о выпуске кросс-подписи истекшего DST Root CA X3 до 2024 года.

Всем успехов!

Иван Данилин
Автор Иван Данилин

Делаю сайты на Вордпресс с 2008 года. Не просто сайты, а уникальные инструменты для решения сложных бизнес‑задач с оптимизацией и поддержкой.

Комментарии
  1. У меня из за сертификата старого не дает зайти на официальный сайт что бы скачать, что делать
  2. Спасибо Вам огромное! Очень помогла Ваша статья! Вернули к жизни старый айфон )))
Добавить комментарий