Подключение не защищено - почему не могу попасть на сайт?

Каждый пользователь сети Интернет хочет, чтобы передаваемая информация проходила по защищенному каналу. Вряд ли кому понравится, если личные данные или финансовая информация будут перехвачены мошенниками. Со стороны интернет-ресурсов и веб-инструментов разработаны специальные протоколы и сертификаты, которые обеспечивают безопасное соединение.

Так сайты, пользующиеся доверием, перешли на протокол HTTPS (HyperText Transfer Protocol Secure). Передовые браузеры рядом с url таких интернет-ресурсов выводят специальный значок, поисковые боты присваивают выше рейтинг, растет уровень доверия клиентов и проч. Для перехода требуется приобрести SSL-сертификат. Подробно о вариантах SSL-сертификатов здесь.

Для того чтобы подтвердить подлинность SSL-сертификата, он должен быть подписан доверенным корневым сертификатом. В сентябре этого года закончился срок распространенного корневого сертификата IdentTrust DST Root CA X3, который использовался компанией Let's Encrypt. Это означает, что подписанные им сертификаты стали недействительными.

Пользователи не самых новых устройств при выходе в сеть Интернет столкнулись с проблемами соединения, увидели такие сообщения: «Подключение не защищено», «Ошибка SSL» и «Не удается получить доступ к сайту».

Кто столкнулся с проблемами

В первую очередь проблема в том, что указанный сертификат используется широко. Миллионы сайтов и устройств используют Let's Encrypt для создания сертификатов. Поэтому окончание срока действия их корневого сертификата неминуемо повлечет за собой сложности и ошибки в работе.

Это не первый неприятный для пользователей случай. В мае 2021 года истек срок сертификата AddTrust External CA Root, и часть устаревших программ и оборудования также потеряло работоспособность. Сейчас же масштаб намного больше.

В первую очередь проблемы коснутся устройств без встроенного механизма обновления или тех, у кого этот механизм намеренно заблокирован. Без регулярного доступа к обновлениям наладить работу на них можно только с помощью сложных манипуляций.

Под удар попадают:

  • смартфоны Android v2.3.6 и ранее;
  • ноутбуки MacBook v10.12.6 и ранее;
  • iPhone и iPad до v10;
  • компьютеры с операционной системой (ОС) Windows XP Service Pack 2 и ранее;
  • компьютеры с ОС Ubuntu до v16.04;
  • компьютеры с ОС Debian до v8;
  • браузер Mozilla Firefox до v50;
  • системы, использующие OpelSSL до ветки 1.0.2;
  • игровые консоли PlayStation 3 и 4 до v5.00;
  • системы, использующие Java 7 до 151, Java 8 до 141 и проч.

Список получился объемный. Однако не стоит думать, что за возникшую проблему не взялись всерьез.

Официальные рекомендации

Обывателям следует в первую очередь озаботиться обновлением устройств до современного уровня и версий. Это позволит избежать длинного ряда проблем. Если такого варианта нет, то прогноз, к сожалению, неутешителен.

Пользователи Android знают, что регулярно возникают проблемы с обновлениями. Для них компания Let's Encrypt уже нашла рабочий вариант. В 2021 году ряд смартфонов перешли на отдельный сертификат ISRG Root X1. Действует до 2035 года. И хотя устройства Android (Nougat) v7.1.1 и ранее не в 100% случаев работают на этом сертификате, но компания Let's Encrypt уже получила дополнительный вариант перекрестной подписи. А это значит, что еще несколько лет пользователи могут спокойно пользоваться. За это время наверняка найдут новый выход.

Если в наличии Android (Lollipop) v5.0, то Let's Encrypt советует установить браузер Firefox. Дело в том, что этот браузер содержит собственный список корневых сертификатов, что в корне отличается от остальных. Благодаря этому доступ в Интернет для устройств с Firefox по-прежнему возможен.

Для систем с OpenSSL 1.0.2 проблема в том, что алгоритм обработки корневых сертификатов подразумевает линейный порядок. Для сертификатов с перекрестной подпиской это недопустимо. Поэтому действия по преодолению следующие:

  • Удалить просроченный сертификат IdenTrust DST Root CA X3 вручную.
  • Установить обособленный корневой сертификат ISRG Root X1.
  • Настроить для команд openssl verify и s_client опцию «-trusted_first».
  • Установить для сервера сертификат, заверенный ISRG Root X1 без кросс-подписи.

В связи со сложившейся ситуацией, компания Let's Encrypt предоставляет сертификат ISRG Root X1 по запросу безвозмездно.

Заключение

Истекший срок действия корневого сертификата IdentTrust DST Root CA X3 компании Let's Encrypt — проблема, которая затрагивает многих. Рекомендуем не поддаваться панике, а воспользоваться официальными советами.

Готовы сделать что-нибудь невероятное?

Давайте начнем