Окончание срока действия DST Root CA X3 (сентябрь 2021 г.)

Последнее обновление: | Вся документация

Внимание! Английская версия сайта была обновлена, перевод неактуален () Просмотреть на английском

30 сентября 2021 года произойдет небольшое изменение в вопросе того, как старые браузеры и устройства доверяют сертификатам Let’s Encrypt. Если у вас обычный веб-сайт, то вы не заметите разницы — подавляющее большинство ваших посетителей все равно примут ваш сертификат Let’s Encrypt. Если вы предоставляете API или должны поддерживать устройства IoT, вам, возможно, придется уделить немного больше внимания этому изменению.

У Let’s Encrypt есть “корневой сертификат” под названием ISRG Root X1. Современные браузеры и устройства доверяют сертификату Let’s Encrypt, установленному на вашем веб-сайте, поскольку ISRG Root X1 включен в их список корневых сертификатов. Чтобы сертификаты, которые мы выпускаем, являлись доверенными на старых устройствах, у нас также есть “перекрестная подпись” из старого корневого сертификата: DST Root CA X3.

Когда мы только начинали, этот старый корневой сертификат (DST Root CA X3) помог нам сдвинуться с мертвой точки и сразу получить доверие практически каждого устройства. Более новый корневой сертификат (ISRG Root X1) теперь также широко пользуется доверием, но некоторые старые устройства никогда не будут доверять ему, потому что они не получают обновлений программного обеспечения (например, iPhone 4 или HTC Dream). Нажмите здесь, чтобы узнать, какие платформы доверяют ISRG Root X1.

Срок действия DST Root CA X3 истекает 30 сентября 2021 г. Это означает, что те старые устройства, которые не доверяют ISRG Root X1, начнут получать предупреждения о сертификате, при посещении сайтов, использующих сертификаты Let’s Encrypt. Есть важное исключение: старые Android-устройства, не доверяющие ISRG Root X1, продолжат работу с Let’s Encrypt благодаря специальной кросс-подписи DST Root CA X3, которая распространится после истечения срока действия этого корневого сертификата. Это исключение работает только для Android.

Что вам делать? Для большинства людей ничего! Мы настроили выдачу сертификатов таким образом, чтобы ваш веб-сайт в большинстве случаев работал правильно, обеспечивая широкую совместимость. Если вы предоставляете API или должны поддерживать устройства IoT, вам нужно убедиться в двух вещах: (1) все клиенты вашего API должны доверять ISRG Root X1 (а не только DST Root CA X3), и (2) если клиенты вашего API используют OpenSSL, они должны использовать версию 1.0 или новее. В OpenSSL 1.0.x загвоздка при проверке сертификата в том, что даже клиенты, которые доверяют ISRG Root X1, потерпят неудачу при представлении совместимой с Android цепочки сертификатов, которую мы рекомендуем по умолчанию.

Если вам нужна дополнительная информация о текущих изменениях нашей производственной цепочки, пожалуйста, посмотрите эту тему на нашем форуме.

Если у вас есть вопросы о предстоящем окончании срока действия, пожалуйста, напишите в эту тему на нашем форуме.