Истек срок действия корневого сертификата Let's Encrypt - что делать?

Срок действия корневого сертификата Let's Encrypt истек 30 сентября 2021 г. Это сломало работу интернета на сотнях устройств по всему миру, которые давно не получали обновления прошивки. Одних только Android-гаджетов среди них более 213 млн. Решить проблему можно или установкой свежего ПО, или покупкой современного устройства.

Проблема кроется в корневом сертификате IdenTrust DST Root CA X3 некоммерческого удостоверяющего центра Let's Encrypt. Он предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования и используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Сертификат IdenTrust DST Root CA X3 устарел 30 сентября 2021 г. в 17:01 по московскому времени.  

---

Кто в зоне риска

Трудности в пользовании интернетом возникли у владельцев устаревших устройств. В сегменте компьютеров Apple это все ПК и ноутбуки с операционной системой macOS до версии 10.12.1 включительно. Также из-за сертификата Let's Encrypt посещать различные сайты не могут те, кто по-прежнему работает в древних версиях Windows (до Windows XP с пакетом обновлений Service Pack 3).

Что касается мобильных устройств, то проблема актуальна для всех смартфонов и планшетов Apple с iOS 10 и старше. Чтобы все работало на Android-смартфонах, ОС должна быть обновлена минимум до версии 7.1.1

Кроме того, значительной доли веб-сайтов и сервисов лишились и геймеры, играющие на приставках Sony PlayStation 3 и 4 со старыми версиями прошивок. Портативная консоль Nintendo 3DS тоже осталась без них, как и все компьютеры и ноутбуки на базе Ubuntu до версии 16.04 и Debian до версии 8.

Но даже на устройствах с современными прошивками и ОС интернет не будет работать у тех, кто использует браузер Firefox ниже версии 50. 

Способы решения

Если у вас появляется ошибка ERR CERT DATE INVALID и вы не можете зайти на любимые сайты  — следуйте инструкции:

В первую очередь стоит обновить операционную систему. Если такой возможности нет, действуйте иначе — обновляйте/устанавливайте сертификат в ручном режиме. Пока мы представляем инструкцию для семейства ОС Windows на примере Windows XP, но в будущем добавим и другие варианты.

Обновление/установка сертификата на ОС Windows XP, Vista, 7

Для обновления/установки сертификата на Windows выполните следующие шаги:

1. Скачайте обновленный корневой сертификат — ссылка, а также еще один наиболее популярный для сайтов сертификат: ссылка.

2. Нажмите 2 раза на файл isrgrootx1.der. У вас откроется окно с информацией о сертификате.

3. Нажмите на кнопку «Установить сертификат»:

4. В открывшимся окне выберите «Далее». У вас откроется окно импорта. Выберите «Поместить все сертификаты в следующее хранилище» (ниже на скриншоте под цифрой 1).Нажмите «Обзор...». Выберите пункт «Доверенные корневые центры сертификации» (отмечено цифрой 2). Важно выбрать именно этот пункт. Нажмите «Ок»:  

5. Проверьте, чтобы все выглядело, как на скриншоте и нажмите «Далее».

6. Подтвердите завершение импорта кнопкой «Готово». Вы увидите предупреждение, что будет добавлен корневой сертификат. Обязательно нажмите «Да». В конце вы увидите сообщение о успешном импорте.

Все готово! Теперь вы можете посещать сайты, которые были ранее недоступны из-за ошибки сертификата!

Также рекомендуется повторить эти пункты и для другого скачанного по ссылке выше файла «USERTrustRSACertificationAuthority.crl». Ведь это второй по популярности корневой сертификат, который уже давно не обновлялся.

Обновив указанные сертификаты на вашем Android-устройстве, Mac или других девайсах, вы продолжите посещать любимые сайты в привычном режиме.