С 1 октября 2021 года закончился срок действия сертификата IdenTrust DST Root CA X3 (одного из основных корневых сертификатов, применяемых в сети), который установлен на многих устройствах.
Из-за этого владельцы ПК на Windows 7, Windows Server 2008 с выключенными обновлениями и Windows XP могут столкнуться с проблемой появления ошибки: «ERR_CERT_DATE_INVALID»,«ERR_DATE_INVALID» и прочими ошибками сертификатов при входе на многие сайты.
Есть два способа решить эту проблему: либо установить новый сертификат, либо установить обновления ОС Windows.
Решение через ручную установку сертификата
Скачать сертификат можно по ссылке: https://letsencrypt.org/certs/isrgrootx1.der / зеркало (.der, 1.35Кб)
Необходимо запустить скачанный файл, на вкладке «Общие» нажать «Установить сертификат».
Выберите расположение «Локальный компьютер» и нажмите «Далее».
Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите «Обзор», выберите раздел «Доверенные корневые центры сертификации», нажмите «ОК» и «Далее», а в следующем окне – «Готово». При появлении вопросов об установке сертификатов – согласитесь на установку.
После этого перезапустите браузер и вновь попробуйте зайти на необходимый сайт.
Решение через установку обновлений
Для решения ошибки сертификата нужно установить обновления KB3020369 и KB3125574:
- KB3020369 из каталога Центра обновлений Microsoft
- KB3125574 из каталога Центра обновлений Microsoft
Дополнительно
Иногда установка одного лишь IdenTrust DST Root CA X3 может не помочь, так же рекомендуем дополнительно установить следующие корневые сертификаты:
- Go Daddy Root Certificate Authority
- GlobalSign Root CA
The «update» is just the actual non-cross-signed ISRG Root X1 certification authority that Let’s Encrypt will be using from now on. (Download the «Self-signed DER» version.)
What needs to be fixed
There’s nothing to update from the software side, as the X.509 and TLS stack built in to Windows is already quite good at dealing with multiple validation chains. (It has to be able to cope with the US DoD Federal PKI, which uses cross-signing extensively. Just look at this graph! The AddTrust and ISRG situations are relatively tame in comparison.)
So in the beginning, while websites are still sending you the DST → ISRG X1 → LE chain, it is enough to install another, valid version of the same X1 root in your «Trusted Root Certification Authorities» – Windows will understand that it’s fundamentally the same CA (due to having the same subject and public key) and will short-circuit the validation, ignoring DST entirely.
Some time later, after websites go through their automatic LE renewals (and begin sending the new, direct ISRG X1 → LE chain), cross-signing and alternate paths will no longer be part of the issue – at that point it’ll simply be «the website uses a root CA which you don’t have», and installing the X1 root is again the solution.
How to fix it
For most users this will likely happen automatically, through the «Automatic Root Certificates Update» feature, as soon as they visit an affected website for the first time. (For example, I just booted up a Windows 7 VM and visited one such site – while the first visit displayed an expiration error, the second did not, and «ISRG Root X1» appeared in certmgr.msc on its own.)
As of Windows 7 (or Vista?), this feature isn’t part of Windows Update (the roots are downloaded on demand, they are not distributed as a standard update package), but I’m guessing you may have disabled it as well. In that case, download the ISRG Root X1 certificate from LE’s website and manually import it to the machine-wide Trusted Roots store.
-
Through the GUI:
-
Through command line:
certutil -ent -addstore Root isrgrootx1.der
What this actually doesn’t fix
Note that Firefox is listed separately because it uses neither the Windows CA store (it has the Mozilla CA Program), nor the Windows X.509/TLS code (it uses NSS and mozilla::pkix) – the version you’re using already has the ISRG root built-in, independently from the OS. The same goes for Thunderbird and SeaMonkey.
It’s possible that you’ll also encounter programs which use OpenSSL on Windows (ssleay32.dll is a giveaway) – they typically use the «cURL certificate bundle», which is really just Mozilla’s CA list repackaged as a single curl-ca-bundle.crt file. If the program is a bit old, you may have to download a new version of this file and place it in the right spot.
But if such programs use a very old OpenSSL version, or if they don’t enable the «alternate chain» feature that’s in OpenSSL 1.1.x, they will still have problems with websites using the DST cross-signed chain – the only workarounds are to obtain an updated version of that app, or wait it out (the DST chain will, after all, eventually go out of use).
30 сентября 2021 истек срок действия сертификата DST Root CA X3 Let’s Encrypt. Браузеры Google Chrome, Opera и Edge теперь не могут открыть большинство сайтов https. Лишь Mozilla Firefox работает нормально.
РЕШЕНИЕ
Если у вас установлена не Windows, а иная операционная система, попробуйте обратиться за решением к следующей теме на официальном форуме Let’s Encrypt – https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expiration-september-2021/149190/3
А для Windows простейшим решением будет загрузить сертификат ISRG Root X1 с официального сайта Let’s Encrypt и вручную импортировать его в хранилище доверенных корневых центров сертификации. Для этого:
1. Загрузите версию “Self-signed DER” сертификата ISRG Root X1 со страницы https://letsencrypt.org/certificates/
2. Откройте скачанный вами файл isrgrootx1.der
3. Импортируйте его в хранилище доверенных корневых центров сертификации следующим образом.
Нажмите “Установить сертификат”:
Выберите “Поместить все сертификаты в следующее хранилище”.
Нажмите “Обзор”.
Выберите “Доверенные корневые центры сертификации”:
Если появится сообщение с вопросом, ответьте “Да”.
***
А через командную строку третий шаг можно выполнить так: certutil -ent -addstore Root isrgrootx1.der
Добавление корневых сертификатов Letsencrypt на Ubuntu, Centos, Windows 7
Ниже представлена инструкция для Windows 7, Ubuntu и Centos 7, которая позволит исправить ошибку letsencrypt.
1. Если у вас возникает ошибка доступа к сайтам, в связи с истечением сертифика IdenTrust DST Root CA X3 на старых системах.
2. Если вы получаете ошибки git:
fatal: unable to access 'https://domain/git/repository/': Peer's Certificate issuer is not recognized.3. Ошибка CERTIFICATE_VERIFY_FAILED
ошибка: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:618)То следует установить корневые сертификаты Letsencrypt. Список корневых сертификатов представлен на странице https://letsencrypt.org/certificates/
ОС Ubuntu 16.04
Скачайте сертификат:
cd /usr/share/ca-certificates
mkdir letsencrypt
cd letsencrypt
wget "https://letsencrypt.org/certs/isrgrootx1.pem"Пропишите новые сертификаты в конфигурационном файле:
echo "letsencrypt/isrgrootx1.pem" >> /etc/ca-certificates.conf
Обновите сертификаты:
update-ca-certificatesПосле выполнения команды должно вывести информацию об успешной установки трех новых сертификатов:
Updating certificates in /etc/ssl/certs...
3 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.
Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-certificates.crt
ОС Centos 7
Установите программу для работы с сертификатами:
yum install ca-certificates
update-ca-trust force-enableУстановите сертификаты:
wget "https://letsencrypt.org/certs/isrgrootx1.pem" -O"/etc/pki/ca-trust/source/anchors/lets-encrypt-isrgrootx1.pem"Соберите сертификаты:
update-ca-trust extract
Сборка всех сертификатов находится в файле /etc/ssl/certs/ca-bundle.crt
Перезапуск сервисов
После настройки корневого сертификата следует перезапустить некоторые программы.
Docker:
systemctl restart docker
Windows 7
1. Скачайте сертификат с официального сайта https://letsencrypt.org/certs/isrgrootx1.pem (зеркало https://blog.bayrell.org/wp-content/uploads/2021/10/isrgrootx1.zip)
Контрольные суммы сертификата:
MD5: 118ecd744d864b32ffdb48b2e29f1d7f
SHA1: 4de9627fe9ace4acce27eaa1a0837cd3db55704b
SHA256: 22b557a27055b33606b6559f37703928d3e4ad79f110b407d04986e1843543d1
2. Перейдите на вкладку chrome://settings/
3.Откройте пункт Конфиденциальность и Безопасность и выберите раздел безопасность
4. Откройте пункт Настроить сертификаты
5. Выберите пункт Доверенные корневые центры сертификации
6. Нажмите на кнопку Импорт
7. Нажмите обзор и выберите загруженный файл.
8. В выпадающем списке нужно выбрать все файлы
Нажмите далее
8. Убедитесь что установка идет в Доверенные корневые центры сертификации.
Нажмите далее
9. Нажмите готово
10. В окне предупреждения безопасности нужно ответить да
11. Импорт успешно завершен
12. Перезагрузите компьютер.
Материалы по теме
- Настройка Lets Encrypt для Nginx
Ваш сертификат SSL может не работать, если вы используете Windows 7 или более раннюю версию, или MacOS El Capitan (10.12.1) или более раннюю версию.
Это результат того, что более старые операционные системы (ОС) не распознают современный сертификат SSL. Это не означает, что существует проблема с сертификатом SSL вашего сайта. Подробнее
Чтобы решить эту проблему, мы рекомендуем обновить ваше устройство до последней доступной ОС.
Если у вас есть устройство с Windows, и вы не можете обновить ОС до более новой версии, вы можете выполнить следующие действия, чтобы включить сертификат на своем устройстве.
Показать, как включить сертификат SSL в более старых версиях ОС Windows