Il fattore determinante principale se una piattaforma possa convalidare i certificati di Let’s Encrypt è se quella piattaforma si affida al certificato “ISRG Root X1” di ISRG. Prima di Settembre 2021, alcune piattaforme potevano validare i nostri certificati pur non includendo ISRG Root X1, poiché si affidavano al certificato “DST Root CA X3” di IdenTrust. Da ottobre 2021, solo le piattaforme che si affidano a ISRG Root X1 convalideranno i certificati di Let’s Encrypt (con l’eccezione di Android).

Se il certificato si convalida su alcune delle piattaforme “Compatibili note” ma non su altre, il problema potrebbe essere una configurazione errata del server web. Se stai avendo un problema con piattaforme moderne, la causa più comune è il mancanza della corretta catena di certificati. Testa il tuo sito con SSL Labs’ Server Test. Se questo non identifica il problema, chiedi aiuto nei nostri Forum della Community.

Piattaforme che si affidano a ISRG Root X1

• Windows >= XP SP3 (supponendo che l’Aggiornamento Automatico dei Certificati di Root non sia disabilitato manualmente)
• macOS >= 10.12.1
• iOS >= 10 (iOS 9 non lo include)
• iPhone 5 e superiori possono aggiornarsi a iOS 10 e possono dunque affidarsi a ISRG Root X1
• Android >= 7.1.1 (ma Android >= 2.3.6 fnzionerà di default grazie alla nostra multi-firma speciale)
• Mozilla Firefox >= 50.0
• Ubuntu >= Precise Pangolin / 12.04 (con gli aggiornamenti applicati)
• Debian >= jessie / 8 (con gli aggiornamenti applicati)
• Java 8 >= 8u141
• Java 7 >= 7u151
• NSS >= 3.26

I browser (Chrome, Safari, Edge, Opera) si affidano generalmente agli stessi certificati di root del sistema operativo su cui operano. Firefox è l’eccezione: ha il proprio archivio principale. Presto, anche le nuove versioni di Chrome avranno il proprio archivio di root.

Piattaforme che si affidano a DST Root CA X3 ma non a ISRG Root X1

Queste piattaforme avrebbero funzionato fino a settembre 2021, ma non convalidano più i certificati di Let’s Encrypt.

• macOS < 10.12.1
• iOS < 10
• Mozilla Firefox < 50
• Ubuntu >= intrepid / 8.10
• Debian >= squeeze / 6 and < jessie /8
• Java 8 >= 8u101 e < 8u141
• Java 7 >= 7u111 e < 7u151
• NSS >= v3.11.9 e < 3.26
• Amazon FireOS (Silk Browser) (intervallo delle versioni sconosciuto)
• Cyanogen > v10 (versione che ha aggiunto ISRG Root X1 sconosciuta)
• Jolla Sailfish OS > v1.1.2.16 (versione che ha aggiunto ISRG Root X1 sconosciuta)
• Kindle > v3.4.1 (versione che ha aggiunto ISRG Root X1 sconosciuta)
• Blackberry >= 10.3.3 (versione che ha aggiunto ISRG Root X1 sconosciuta)
• Console di gioco PS4 con firmware >= 5.00 (versione che ha aggiunto ISRG Root X1 sconosciuta)

Incompatibili noti

• Blackberry < v10.3.3
• Android < v2.3.6
• Nintendo 3DS
• Windows XP senza SP3
  • non è possibile gestire i certificati firmati SHA-2
• Java 7 < 7u111
• Java 8 < 8u101
• Windows Live Mail (client di posta del 2012, non webmail)
  • non è possibile gestire i certificati senza un CRL
• Console di gioco PS3
• PS4 console di gioco con firmware < 5.00

ISRG Root X2 (nuovo root ECDSA) - in arrivo

Abbiamo inviato ISRG Root X2 ai programmi di root di Microsoft, Apple, Google, Mozilla e Oracle per l’inclusione. ISRG Root X2 è già ampiamente ritenuto affidabile tramite una multi-firma dal nostro ISRG Root X1. Per ulteriori informazioni, dai un’occhiata al nostro post del forum della community.