Закінчення DST Root ЦС X3 (вересень 2021 року)

Останнє оновлення: | Переглянути всю документацію

Примітка: Англійська версія була оновлена з моменту перекладу () Переглянути англійською

30 вересня 2021 року відбудеться невелика зміна того, як старі браузери та пристрої будуть довіряти сертифікатам Let’s Encrypt. Якщо Ви запускаєте типовий веб-сайт, Ви поки не помітите різниці - переважна більшість Ваших відвідувачів все ще приймуть Ваш сертифікат Let’s Encrypt. Якщо ж Ви надаєте API чи маєте підтримувати девайси IoT, Вам, можливо, доведеться приділити трохи більшу увагу цій зміні.

Let’s Encrypt має кореневий сертифікат, який має назву ISRG Root X1. Сучасні браузери та девайси довіряють сертифікату Let’s Encrypt, встановленому на Вашому веб-сайті, бо вони включають ISRG Root X1 у свій список кореневих сертифікатів. Щоб переконатися у тому, що сертифікати, які ми видаємо, є прийнятими на старих девайсах, ми також маємо “схрещення” з давнього кореневого сертифіката: DST Root ЦС X3.

Коли ми починали, цей старий кореневий сертифікат (DST Root ЦС X3) допоміг нам успішно почати та раптово заробив довіру майже кожного девайсу. Новіший кореневий сертифікат (ISRG Root X1) є зараз широко довірений також, але деякі старі девайси ніколи не довіряють йому через не отримання оновлення програмного забезпечення (наприклад, iPhone 4 чи HTC Dream). Натисніть тут для перегляду списку платформ, які довіряють ISRG Root X1.

Закінчення роботи DST Root ЦС X3 припадає на 30 вересня 2021 року. Це означає, що старі девайси, які не довіряють ISRG Root X1, почнуть отримувати попередження про сертифікати, коли відвідуватимуть сайти, які використовують сертифікати Let’s Encrypt. Тут існує один важливий виняток: старі Android девайси, які не довіряють ISRG Root X1, будуть продовжувати працювати з Let’s Encrypt, дякуючи спеціальному схрещуванню з DST Root CA X3, який продовжує минуле закінчення терміну дії цього кореневого сертифіката. Це виключення працює тільки для Android.

Що ж робити Вам? Як і для більшості людей, зовсім нічого! Ми налаштували нашу видачу сертифікатів, тому Ваш веб-сайт буде робити правильний вибір у більшості випадків, віддаючи перевагу широкій сумісності. Якщо ж Ви надаєте API чи маєте підтримувати девайси IoT, то Вам потрібно буде впевнитися у двох речах: (1) всі клієнти Вашого API повинні довіряти ISRG Root X1 (не лише DST Root ЦС X3) і, (2) якщо клієнти Вашого API користуються OpenSSL, то вони повинні використовувати версію 1.1.0 чи пізнішу. У OpenSSL1.0.x дивність перевірки сертифікату означає те, що навіть клієнти, які довіряють ISRG Root X1 зазнають невдачі, коли ознайомлюються з ланцюгом сумісних Android сертифікатів, які ми рекомендуємо за замовчуванням.

Якщо Ви хотіли б отримати додаткову інформацію про наші поточні зміни виробничого ланцюга, будь ласка, перевірте цей потік в нашій спільноті.

Якщо у Вас виникли якісь питання з приводу майбутнього закінчення терміну дії, будь ласка, напишіть їх сюди, на цей форум.