LetsEncrypt: обновление истекшего сертификата УЦ

30.10.21 внезапно истек сертификат ISRGRootX1 удостоверяющего центра LetsEncrypt. Рассмотрим варианты как обновить данный сертификат или обойти ошибку истекшего сертификата.

Windows

Метод 1:

Обновите операционную систему. Актуальная версия 21H1. Версию можно посмотреть в "пуск→параметры→система→о системе".
Если обновлений нет, но версия не актуальная, то запустите powershell от имени администратора и выполните следующие команды:

Stop-Service -Name wuauserv
Remove-Item HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate -Recurse
Start-Service -Name wuauserv

Повторите операцию обновления.

Метод 2:

Обновите корневой сертификат удостоверяющего центра.
Скачайте сертификаты:
https://letsencrypt.org/certs/isrgrootx1.pem
https://letsencrypt.org/certs/lets-encrypt-r3.pem
Откройте каждый сертификат и нажмите "Установить сертификат":

  • Расположение хранилища: локальный компьютер
  • Хранилище сертификатов: автоматически выбрать хранилище на основе типа сертификата

Перезагрузите компьютер.

MacOS

Метод 1:

Проверье версию MacOS. Последняя версия Big Sur 11.6. Если у вас версия старее, то обновите операционную систему. Это помогает в 80% случаев.

Метод 2:

Если обновление не помогло, то надо попробовать обновить корневой сертификат удостоверяющего центра.
Скачайте сертификаты:
https://letsencrypt.org/certs/isrgrootx1.pem
https://letsencrypt.org/certs/lets-encrypt-r3.pem
Откройте утилиту "Связка ключей (Keychain)" и перетащите сертификаты в раздел "Система (System)". В разделе "Система (System)" найдите  сертификат "ISG Root X1" и кликните два раза по нему. Откройте меню "Доверие (Trust)" и в "Параметры использования сертификата" поставьте значение "Всегда доверять (Always Trust)".
Перезагрузить компьютер.

Метод 3:

Если проблема проявляется только в Google Chrome, то очистите кэш и куки браузера за все время.

После чего, если зайти на сайт и нажать на кнопку "дополнительно" должна появится ссылка "продолжить небезопасно" по нажатию на который страница должна открыться.

Linux

Метод 1:

Обновите операционную систему или просто обновите пакет ca-certificates.

Метод 2:

Если обновление не доступно, то надо удалить цепочку "DST Root CA X3":

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

update-ca-trust extract