Подключение не защищено, проблема с Lets Encrypt - как исправить истекший 30.09.2021 DST Root CA X3, удалить его вручную и установить ISRG Root X1. Пример на MS Windows 7

06.07.22 ИТ / Безопасность 9070

Если при заходе на сайт появляется предупреждение с красным значком "Подключение не защищено, срок действия сертификата истек" – тогда возможно причина в том, что устарел сертификат IdenTrust DST Root CA X3 на Вашем устройстве. Особенно это актуально для старых устройств, например, для ПК с системой Windows XP или Windows 7.

В новых устройствах сертификаты обновлены или же там нет такой необходимости, а некоторые старые устройства попросту игнорируют проверку срока действия сертификатов, например, некоторые версии системы Android. Даже довольно новые умные телевизоры могут столкнуться с этой ошибкой, если разработчики их ПО не позаботились об обновлении сертификатов - тогда потребуется обновление прошивки ТВ или ручная замена сертификатов. Например, в смарт-ТВ LG стандартный браузер может не открывать сайты с сертификатами от Let's Encrypt по этой причине.

Еще проблема может возникнуть у систем, которые используют версию OpenSSL, меньшую чем 1.1.0 - это происходит потому, что происходит проверка всех сертификатов и присутствие просроченного дает отказ в проверке безопасности соединения. Стоит упомянуть, что некоторые браузеры имеют свое хранилище сертификатов и поэтому могут открывать сайты без ошибок, несмотря на истекший сертификат. Например, браузер Mozilla Firefox.

Всё вышеописанное стало актуально 30.09.2021, когда заканчивается срок действия сертификата IdenTrust DST Root CA X3. Это корневой сертификат, который используется для формирования защищенных подключений. Особенно это важно для сайтов, использующих бесплатные сертификаты Let's Encrypt. Эти бесплатные сертификаты ссылаются на корневой IdenTrust DST Root CA X3, так как он присутствует в большинстве ОС. Хотя для Let's Encrypt создан свой корневой сертификат ISRG Root X1, но пока набиралась популярность бесплатных Let's Encrypt, он не мог быстро попасть во все системы.

Как исправить проблему с истекшим сертификатом? Для этого потребуется удалить старый сертификат и установить новый. Выполнить данную операцию можно на тех устройствах, которые позволяют это сделать. Например, на ПК с MS Windows 7.

Скачивать потребуется сертификат под названием ISRG Root X1, желательно только с официального сайта letsencrypt.org. Сертификат имеет полное название ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1) и доступен по ссылкам:

- https://letsencrypt.org/certs/isrgrootx1.der, в формате DER;

- https://letsencrypt.org/certs/isrgrootx1.pem, в формате PEM.

Также возможно понадобится сертификат Let’s Encrypt R3 (RSA 2048, O = Let's Encrypt, CN = R3), доступный по ссылкам ниже:

- https://letsencrypt.org/certs/lets-encrypt-r3.der, в формате DER;

- https://letsencrypt.org/certs/lets-encrypt-r3.pem, в формате PEM.

Установка сертификата достаточно проста:

1. Открыть скачанный сертификат и нажать "Установить сертификат".

2. В открывшемся мастере импорта сертификатов необходимо выбрать "Поместить все сертификаты в следующее хранилище" и нажать на кнопку "Обзор...", после чего там выбрать "Доверенные корневые центры сертификации".

3. Последний этап - нажать кнопку "Готово", что приведет к добавлению сертификата в устройство.

Управление сертификатами в MS Windows производится при помощи специальной программы, которую можно запустить следующим образом: нажать сочетание клавиш Win + R и написать certmgr.msc, после чего нажать Enter.

Это понадобится для того, чтобы вручную удалить истекший сертификат IdenTrust DST Root CA X3, а также для контроля успешности операции добавления новых сертификатов – они должны появиться в разделе "Доверенные корневые центры сертификации", подраздел "Сертификаты".

Там же необходимо найти старый сертификат и выполнить его удаление.

После этих процедур можно выполнить перезагрузку ПК или сразу проверить работу ранее неоткрывавшихся сайтов с ошибкой SSL. Сайты должны открываться, но время их открытия может стать немного большим, так как при каждом запросе происходит поиск нового сертификата в хранилище.

Таким образом, проблема с открытием сайтов решается установкой нового сертификата.