LetsEncrypt: обновление истекшего сертификата УЦ

30.10.21 внезапно истек сертификат ISRGRootX1 удостоверяющего центра LetsEncrypt. Рассмотрим варианты как обновить данный сертификат или обойти ошибку истекшего сертификата.

30.10.21 внезапно истек сертификат ISRGRootX1 удостоверяющего центра LetsEncrypt. Рассмотрим варианты как обновить данный сертификат или обойти ошибку истекшего сертификата.

Windows

Метод 1:

Обновите операционную систему. Актуальная версия 21H1. Версию можно посмотреть в “пуск→параметры→система→о системе”.

Если обновлений нет, но версия не актуальная, то запустите powershell от имени администратора и выполните следующие команды:

Stop-Service -Name wuauserv
Remove-Item HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate -Recurse
Start-Service -Name wuauserv

Повторите операцию обновления.

Метод 2:

Обновите корневой сертификат удостоверяющего центра.

Скачайте сертификаты: https://letsencrypt.org/certs/isrgrootx1.pem и https://letsencrypt.org/certs/lets-encrypt-r3.pem

Откройте каждый сертификат и нажмите "Установить сертификат":

* Расположение хранилища: локальный компьютер

* Хранилище сертификатов: автоматически выбрать хранилище на основе типа сертификата

Перезагрузите компьютер.

MacOS

Метод 1:

Проверье версию MacOS. Последняя версия Bug Sur 11.6. Если у вас версия старее, то обновите операционную систему. Это помогает в 80% случаев.

Метод 2:

Если обновление не помогло, то надо попробовать обновить корневой сертификат удостоверяющего центра.

Скачайте сертификаты: https://letsencrypt.org/certs/isrgrootx1.pem и https://letsencrypt.org/certs/lets-encrypt-r3.pem

Откройте утилиту “Связка ключей (Keychain)” и перетащите сертификаты в раздел “Система (System)”.В разделе “Система (System)” найдите  сертификат “ISG Root X1” и кликните два раза по нему. Откройте меню “Доверие (Trust)” и в “Параметры использования сертификата” поставьте значение “Всегда доверять (Always Trust)”.

Перезагрузить компьютер.

Метод 3:

Если проблема проявляется только в Google Chrome, то очистите кэш и куки браузера за все время.

После чего, если зайти на сайт и нажать на кнопку “дополнительно” должна появится ссылка “продолжить небезопасно” по нажатию на который страница должна открыться.

Linux

Метод 1:

Обновите операционную систему или просто обновите пакет ca-certificates.

Метод 2:

Если обновление не доступно, то надо удалить цепочку “DST Root CA X3”:

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

update-ca-trust extract