Меню
Статья Mind Flow

LetsEncrypt: обновление истекшего сертификата УЦ

igro

igro

• Время прочтения: 1 Мин.

30.10.21 внезапно истек сертификат ISRGRootX1 удостоверяющего центра LetsEncrypt. Рассмотрим варианты как обновить данный сертификат или обойти ошибку истекшего сертификата.

Windows

Метод 1:

Обновите операционную систему. Актуальная версия 21H1. Версию можно посмотреть в "пуск→параметры→система→о системе".
Если обновлений нет, но версия не актуальная, то запустите powershell от имени администратора и выполните следующие команды:

Stop-Service -Name wuauserv
Remove-Item HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate -Recurse
Start-Service -Name wuauserv

Повторите операцию обновления.

Метод 2:

Обновите корневой сертификат удостоверяющего центра.
Скачайте сертификаты:
https://letsencrypt.org/certs/isrgrootx1.pem
https://letsencrypt.org/certs/lets-encrypt-r3.pem
Откройте каждый сертификат и нажмите "Установить сертификат":

  • Расположение хранилища: локальный компьютер
  • Хранилище сертификатов: автоматически выбрать хранилище на основе типа сертификата

Перезагрузите компьютер.

MacOS

Метод 1:

Проверье версию MacOS. Последняя версия Big Sur 11.6. Если у вас версия старее, то обновите операционную систему. Это помогает в 80% случаев.

Метод 2:

Если обновление не помогло, то надо попробовать обновить корневой сертификат удостоверяющего центра.
Скачайте сертификаты:
https://letsencrypt.org/certs/isrgrootx1.pem
https://letsencrypt.org/certs/lets-encrypt-r3.pem
Откройте утилиту "Связка ключей (Keychain)" и перетащите сертификаты в раздел "Система (System)". В разделе "Система (System)" найдите  сертификат "ISG Root X1" и кликните два раза по нему. Откройте меню "Доверие (Trust)" и в "Параметры использования сертификата" поставьте значение "Всегда доверять (Always Trust)".
Перезагрузить компьютер.

Метод 3:

Если проблема проявляется только в Google Chrome, то очистите кэш и куки браузера за все время.

После чего, если зайти на сайт и нажать на кнопку "дополнительно" должна появится ссылка "продолжить небезопасно" по нажатию на который страница должна открыться.

Linux

Метод 1:

Обновите операционную систему или просто обновите пакет ca-certificates.

Метод 2:

Если обновление не доступно, то надо удалить цепочку "DST Root CA X3":

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

update-ca-trust extract
Поделиться
Показать комментарии

Topics

Server Software: 46 Mind Flow: 21 linux: 17 Development: 9 centos: 6 python: 5 gitlab: 5 сборка с исходников: 4 letsencrypt: 4 openvpn: 4 установка и настройка: 4 freebsd: 4 сборка из исходников: 4 1c: 3 pfsense: 3 rocky linux: 3 openssh: 2 docker: 2 nic ru: 2 dns api: 2 godaddy: 2 днс сервер: 2 active directory: 2 wireguard: 2 policy based routing: 2 альтернатива: 2 megaraid: 2 dns: 2 как работает: 2 php: 2 zfs: 2 smtp: 2 nginx: 2 bacula: 2 Server Hardware: 1 slackbot: 1 crystal lang: 1 flask: 1 gunicorn: 1 pki: 1 сэд: 1 container registry: 1 трансфер зоны: 1 bind: 1 mycloud: 1 tomcat: 1 unifi cloud key: 1 jenkins: 1 облако: 1 перезагрузка сервера: 1 mosh: 1 nodejs: 1 pm2: 1 android: 1 цифровая подпись: 1 zoom: 1 jitsi: 1 maya: 1 animbot: 1 диск не определяется: 1 windows service: 1 основы работы: 1 dhcp: 1 кибербезопасность: 1 пароль: 1 raid: 1 btrfs: 1 xfs: 1 bsd: 1 distr: 1 ssmtp: 1 postfix: 1 gmail: 1 google: 1 oauth2: 1 аутентификация: 1 reverse proxy: 1 postgresql: 1 kvm: 1 kernel based virtual machine: 1 vlan: 1 unix: 1 unix like: 1 centos 7: 1 migrate: 1 миграция: 1 обновление до rocky linux: 1 microsemi: 1 adaptec: 1 8405E: 1 6028R-WTR: 1 mariadb-connector: 1 windows: 1 macos: 1 обновление сертификата: 1 site to site: 1 ktls: 1 zeniq: 1 scum: 1 скам: 1 пирамида: 1 ocs-investments: 1 отзыв: 1 review: 1 обзор: 1 safir: 1 MPT SAS2: 1 avago: 1 стал платным: 1 doscker for desktop: 1 docker hub: 1 opensource: 1 резервное копирование: 1 backup: 1 lfs: 1 удалить проект с LFS: 1 prune volumes: 1