100% of our funding comes from people like you. Donate today.

Окончание срока действия DST Root CA X3 (сентябрь 2021 г.)

Последнее обновление: | Вся документация

Обновление от мая 2024 г. Прошло два года, и срок действия совместимой с Android кросс-подписи, упомянутой ниже, близок к истечению. Смотрите в нашем недавнем сообщении в блоге подробное описание изменений, которые произойдут в 2024 году.

Обновление от 30 сентября 2021 г. Как и планировалось, срок действия кросс-подписи DST Root CA X3 истек, и теперь мы используем собственный корневой сертификат ISRG Root X1 для доверия почти на всех устройствах. Для получения более подробной информации о дальнейшем плане, продолжайте читать! Мы также обновили тему «Изменения производственной цепи» на форуме сообщества — наша команда и сообщество готовы помочь по любым вопросам, которые могут у вас возникнуть по поводу истечения этого срока действия.

30 сентября 2021 года произойдет небольшое изменение в вопросе того, как старые браузеры и устройства доверяют сертификатам Let’s Encrypt. Если у вас обычный веб-сайт, то вы не заметите разницы — подавляющее большинство ваших посетителей все равно примут ваш сертификат Let’s Encrypt. Если вы предоставляете API или должны поддерживать устройства IoT, вам, возможно, придется уделить немного больше внимания этому изменению.

У Let’s Encrypt есть “корневой сертификат” под названием ISRG Root X1. Современные браузеры и устройства доверяют сертификату Let’s Encrypt, установленному на вашем веб-сайте, поскольку ISRG Root X1 включен в их список корневых сертификатов. Чтобы сертификаты, которые мы выпускаем, являлись доверенными на старых устройствах, у нас также есть “перекрестная подпись” из старого корневого сертификата: DST Root CA X3.

Когда мы только начинали, этот старый корневой сертификат (DST Root CA X3) помог нам сдвинуться с мертвой точки и сразу получить доверие практически каждого устройства. Более новый корневой сертификат (ISRG Root X1) теперь также широко пользуется доверием, но некоторые старые устройства никогда не будут доверять ему, потому что они не получают обновлений программного обеспечения (например, iPhone 4 или HTC Dream). Нажмите здесь, чтобы узнать, какие платформы доверяют ISRG Root X1.

Срок действия DST Root CA X3 истекает 30 сентября 2021 г. Это означает, что те старые устройства, которые не доверяют ISRG Root X1, начнут получать предупреждения о сертификате, при посещении сайтов, использующих сертификаты Let’s Encrypt. Есть важное исключение: старые Android-устройства, не доверяющие ISRG Root X1, продолжат работу с Let’s Encrypt благодаря специальной кросс-подписи DST Root CA X3, которая распространится после истечения срока действия этого корневого сертификата. Это исключение работает только для Android.

Что вам делать? Для большинства людей ничего! Мы настроили выдачу сертификатов таким образом, чтобы ваш веб-сайт в большинстве случаев работал правильно, обеспечивая широкую совместимость. Если вы предоставляете API или должны поддерживать устройства IoT, вам нужно убедиться в двух вещах: (1) все клиенты вашего API должны доверять ISRG Root X1 (а не только DST Root CA X3), и (2) если клиенты вашего API используют OpenSSL, они должны использовать версию 1.0 или новее. В OpenSSL 1.0.x загвоздка при проверке сертификата в том, что даже клиенты, которые доверяют ISRG Root X1, потерпят неудачу при представлении совместимой с Android цепочки сертификатов, которую мы рекомендуем по умолчанию.

Если вам нужна дополнительная информация о текущих изменениях нашей производственной цепочки, пожалуйста, посмотрите эту тему на нашем форуме.

Если у вас есть вопросы о предстоящем окончании срока действия, пожалуйста, напишите в эту тему на нашем форуме.