LetsEncrypt: обновление истекшего сертификата УЦ
30.10.21 внезапно истек сертификат ISRGRootX1 удостоверяющего центра LetsEncrypt. Рассмотрим варианты как обновить данный сертификат или обойти ошибку истекшего сертификата.
Windows
Метод 1:
Обновите операционную систему. Актуальная версия 21H1. Версию можно посмотреть в "пуск→параметры→система→о системе".
Если обновлений нет, но версия не актуальная, то запустите powershell от имени администратора и выполните следующие команды:
Stop-Service -Name wuauserv
Remove-Item HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate -Recurse
Start-Service -Name wuauserv
Повторите операцию обновления.
Метод 2:
Обновите корневой сертификат удостоверяющего центра.
Скачайте сертификаты:
https://letsencrypt.org/certs/isrgrootx1.pem
https://letsencrypt.org/certs/lets-encrypt-r3.pem
Откройте каждый сертификат и нажмите "Установить сертификат":
- Расположение хранилища: локальный компьютер
- Хранилище сертификатов: автоматически выбрать хранилище на основе типа сертификата
Перезагрузите компьютер.
MacOS
Метод 1:
Проверье версию MacOS. Последняя версия Big Sur 11.6. Если у вас версия старее, то обновите операционную систему. Это помогает в 80% случаев.
Метод 2:
Если обновление не помогло, то надо попробовать обновить корневой сертификат удостоверяющего центра.
Скачайте сертификаты:
https://letsencrypt.org/certs/isrgrootx1.pem
https://letsencrypt.org/certs/lets-encrypt-r3.pem
Откройте утилиту "Связка ключей (Keychain)" и перетащите сертификаты в раздел "Система (System)". В разделе "Система (System)" найдите сертификат "ISG Root X1" и кликните два раза по нему. Откройте меню "Доверие (Trust)" и в "Параметры использования сертификата" поставьте значение "Всегда доверять (Always Trust)".
Перезагрузить компьютер.
Метод 3:
Если проблема проявляется только в Google Chrome, то очистите кэш и куки браузера за все время.
После чего, если зайти на сайт и нажать на кнопку "дополнительно" должна появится ссылка "продолжить небезопасно" по нажатию на который страница должна открыться.
Linux
Метод 1:
Обновите операционную систему или просто обновите пакет ca-certificates.
Метод 2:
Если обновление не доступно, то надо удалить цепочку "DST Root CA X3":
trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
update-ca-trust extract