Възможни проблеми с безплатните SSL сертификати на Let’s Encrypt и как да ги решим?
- 15.10.2021
- Съобщения
Възможно е безплатните SSL сертификати, които се използват на споделения ни хостинг, да изпитват затруднения с по-стари платформи (операционни системи, браузъри и програмни приложения). Това се дължи на новата удостоверителна верига (root certificate) на Let’s Encrypt, която е в сила от 01.10.2021 г., наречена “ISRG Root X1”. Този root сертификат вече е имплементиран в по-новите браузъри и устройства и на тях не би следвало да има затруднения с правилното функциониране на Вашите сайтове.
На 30.09.2021 г. изтече валидността на старата удостоверителна верига на Let’s Encrypt (DST Root CA X3), което доведе до визуализиране на грешка за невалиден SSL сертификат при достъпване на самите сайтове или при използване на електронните пощи. За съжаление и cPanel, компанията, която е създател и поддържа контролния панел, който се използва на споделения хостинг, изпита затруднение с имплементирането на новия root сертификат, което предизвика известна паника сред ползвателите на Let’s Encrypt сертификатите на споделения хостинг. Към момента има временно решение на този казус, което е приложено на всичките ни споделени сървъри, и се очаква съвсем скоро да има и постоянно такова.
От Let’s Encrypt предоставиха списък с операционни системи, браузъри и програмни приложения, които могат да работят с новия сертификат и засегнатите такива:
Устройства, които са съвместими с новия сертификат:
- Windows >= XP SP3 (освен ако Automatic Root Certificate Update не е изключен ръчно)
- macOS >= 10.12.1
- iOS >= 10
- iPhone >= 5 (В случай че могат да обновят операционната си ситема до iOS 10)
- Android >= 7.1.1
- Mozilla Firefox >= 50.0
- Ubuntu >= xenial / 16.04 (след приложени системни ъпдейти)
- Debian >= jessie / 8 (след приложени системни ъпдейти)
- Java 8 >= 8u141
- Java 7 >= 7u151
- NSS >= 3.26
Устройства, които НЕ са съвместими с новия сертификат:
- macOS < 10.12.1
- iOS < 10
- Mozilla Firefox < 50
- Ubuntu >= precise / 12.04 и < xenial / 16.04
- Debian >= squeeze / 6 и < jessie /8
- Java 8 >= 8u101 and < 8u141
- Java 7 >= 7u111 and < 7u151
- NSS >= v3.11.9 and < 3.26
- Amazon FireOS (Silk Browser)
- Cyanogen > v10
- Jolla Sailfish OS > v1.1.2.16
- Kindle > v3.4.1
- Blackberry >= 10.3.3
- PS4 game console with firmware >= 5.00
- Blackberry < v10.3.3
- Android < v2.3.6
- Nintendo 3DS
- Windows XP преди SP3
- Java 7 < 7u111
- Java 8 < 8u101
- Windows Live Mail (2012 имейл клиента, но не и webmail)
- PS3 game console
- PS4 game console with firmware < 5.00
Важно! Към момента браузъри, като Chrome, Safari, Edge, Opera, използват root сертификатите, които се използват и от самата операционна система. Единствено Firefox прави изключение, като той разполага със собствен набор от root сертификати (root store).
При възникнали проблеми алтернативно решение е закупуването на Sectigo PositiveSSL сертификат, който предлагат нашите партньори от Jump.BG.
Източници:
https://www.jump.bg/blog/ssl-issue-report
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/