Каждый пользователь сети Интернет хочет, чтобы передаваемая информация проходила по защищенному каналу. Вряд ли кому понравится, если личные данные или финансовая информация будут перехвачены мошенниками. Со стороны интернет-ресурсов и веб-инструментов разработаны специальные протоколы и сертификаты, которые обеспечивают безопасное соединение.
Так сайты, пользующиеся доверием, перешли на протокол HTTPS (HyperText Transfer Protocol Secure). Передовые браузеры рядом с url таких интернет-ресурсов выводят специальный значок, поисковые боты присваивают выше рейтинг, растет уровень доверия клиентов и проч. Для перехода требуется приобрести SSL-сертификат. Подробно о вариантах SSL-сертификатов здесь.
Для того чтобы подтвердить подлинность SSL-сертификата, он должен быть подписан доверенным корневым сертификатом. В сентябре этого года закончился срок распространенного корневого сертификата IdentTrust DST Root CA X3, который использовался компанией Let's Encrypt. Это означает, что подписанные им сертификаты стали недействительными.
Пользователи не самых новых устройств при выходе в сеть Интернет столкнулись с проблемами соединения, увидели такие сообщения: «Подключение не защищено», «Ошибка SSL» и «Не удается получить доступ к сайту».
В первую очередь проблема в том, что указанный сертификат используется широко. Миллионы сайтов и устройств используют Let's Encrypt для создания сертификатов. Поэтому окончание срока действия их корневого сертификата неминуемо повлечет за собой сложности и ошибки в работе.
Это не первый неприятный для пользователей случай. В мае 2021 года истек срок сертификата AddTrust External CA Root, и часть устаревших программ и оборудования также потеряло работоспособность. Сейчас же масштаб намного больше.
В первую очередь проблемы коснутся устройств без встроенного механизма обновления или тех, у кого этот механизм намеренно заблокирован. Без регулярного доступа к обновлениям наладить работу на них можно только с помощью сложных манипуляций.
Под удар попадают:
Список получился объемный. Однако не стоит думать, что за возникшую проблему не взялись всерьез.
Обывателям следует в первую очередь озаботиться обновлением устройств до современного уровня и версий. Это позволит избежать длинного ряда проблем. Если такого варианта нет, то прогноз, к сожалению, неутешителен.
Пользователи Android знают, что регулярно возникают проблемы с обновлениями. Для них компания Let's Encrypt уже нашла рабочий вариант. В 2021 году ряд смартфонов перешли на отдельный сертификат ISRG Root X1. Действует до 2035 года. И хотя устройства Android (Nougat) v7.1.1 и ранее не в 100% случаев работают на этом сертификате, но компания Let's Encrypt уже получила дополнительный вариант перекрестной подписи. А это значит, что еще несколько лет пользователи могут спокойно пользоваться. За это время наверняка найдут новый выход.
Если в наличии Android (Lollipop) v5.0, то Let's Encrypt советует установить браузер Firefox. Дело в том, что этот браузер содержит собственный список корневых сертификатов, что в корне отличается от остальных. Благодаря этому доступ в Интернет для устройств с Firefox по-прежнему возможен.
Для систем с OpenSSL 1.0.2 проблема в том, что алгоритм обработки корневых сертификатов подразумевает линейный порядок. Для сертификатов с перекрестной подпиской это недопустимо. Поэтому действия по преодолению следующие:
В связи со сложившейся ситуацией, компания Let's Encrypt предоставляет сертификат ISRG Root X1 по запросу безвозмездно.
Истекший срок действия корневого сертификата IdentTrust DST Root CA X3 компании Let's Encrypt — проблема, которая затрагивает многих. Рекомендуем не поддаваться панике, а воспользоваться официальными советами.