DST Root CA X3 hết hạn và LetsEncrypt 10/2021

Kể từ ngày 30 tháng 9 năm 2021, chứng chỉ DST Root CA X3 được sử dụng trong chuỗi trust DST Root cho Let’s Encrypt sẽ hết hạn khiến các ứng dụng không nhận ra ISRG Root X1 mới sẽ không thể kiểm tra bảo mật khi truy cập các trang web s?

Bạn không cần lo lắng vì hầu hết các truy cập website sẽ tự động chấp nhận  ISRG Root X1 và vẫn sẽ truy cập bình thường, tuy nhiên sẽ có một số trường hợp khi truy cập sẽ sẽ gặp phải lỗi liên quan đến kết nối bảo mật như dưới đây:

Kết nối của bạn không phải là kết nối riêng tưNhững kẻ tấn công có thể đang cố gắng đánh cắp thông tin của bạn từ website (ví dụ: mật khẩu, thư hoặc thẻ tín dụng). Tìm hiểu thêmNET::ERR_CERT_DATE_INVALID

Nếu bạn sử dụng trình duyệt Firefox bạn chỉ cập nhật nó và sẽ có thể truy cập lại. Nguyên nhân là các trình duyệt (Chrome, Safari, Edge, Opera) thường tin tưởng các root certificates như hệ điều hành mà chúng đang chạy. Firefox là ngoại lệ: nó có kho lưu trữ root certificates của riêng mình. Vì vậy nếu dùng các trình duyệt khác ngoài firefox bạn sẽ cần cập nhật hệ đều hành đang sử dụng lên bản mới nhất, chi tiết các trình duyệt và hệ điều hành hỗ trợ ISRG Root X bạn có thể xem thêm tại đây

Đối với người dùng sử dụng Windows: Bạn có thể truy cập trên trình duyệt đến địa chỉ sau: https://valid-isrgrootx1.letsencrypt.org/ sẽ nhắc Windows tự động đưa ISRG Root X1 vào root CA của nó.

Đối với macOS, iOS, v.v. : chúng giữ lại CA đã hết hạn   nên bạn có thể thử reset các thiết bị sau đó thử truy cập lại.

 

Platforms that trust ISRG Root X1

  • Windows = XP SP3 (assuming Automatic Root Certificate Update isn’t manually disabled)
  • macOS = 10.12.1
  • iOS = 10 (iOS 9 does not include it)
  • iPhone 5 and above can upgrade to iOS 10 and can thus trust ISRG Root X1
  • Android = 7.1.1 (but Android = 2.3.6 will work by default due to our special cross-sign)
  • Mozilla Firefox = 50.0
  • Ubuntu = xenial / 16.04 (with updates applied)
  • Debian = jessie / 8 (with updates applied)
  • Java 8 = 8u141
  • Java 7 = 7u151
  • NSS = 3.26

Platforms that trust DST Root CA X3

  • Windows = XP SP3
  • macOS (most versions)
  • iOS (most versions)
  • Android = v2.3.6
  • Mozilla Firefox = v2.0
  • Ubuntu = precise / 12.04
  • Debian = squeeze / 6
  • Java 8 = 8u101
  • Java 7 = 7u111
  • NSS = v3.11.9
  • Amazon FireOS (Silk Browser)
  • Cyanogen v10
  • Jolla Sailfish OS v1.1.2.16
  • Kindle v3.4.1
  • Blackberry = 10.3.3
  • PS4 game console with firmware = 5.00

Known Incompatible

  • Blackberry v10.3.3
  • Android v2.3.6
  • Nintendo 3DS
  • Windows XP prior to SP3
    • cannot handle SHA-2 signed certificates
  • Java 7 7u111
  • Java 8 8u101
  • Windows Live Mail (2012 mail client, not webmail)
    • cannot handle certificates without a CRL
  • PS3 game console
  • PS4 game console with firmware 5.00

Thủ Thuật Hay

470 Blog posts

Comments