Let’s Encrypt’s DST Root CA X3 hết hạn

Tác giả: 01/03/2022

Một trong những nhà cung cấp chứng chỉ SSL lớn nhất, Let’s Encrypt, đã thông báo ​​chứng chỉ gốc (RootCA) sẽ hết hạn vào ngày 30/9/2021 – điều này có nghĩa là bạn có thể cần phải nâng cấp thiết bị của mình để ngăn chúng bị hỏng hoặc lỗi không thể truy cập.

Vào ngày 30 tháng 9 năm 2021, sẽ có một thay đổi nhỏ về cách các trình duyệt và thiết bị cũ tin tưởng chứng chỉ Let’s Encrypt. Nếu bạn điều hành một trang web thông thường, bạn sẽ không nhận thấy sự khác biệt – phần lớn khách truy cập sẽ vẫn chấp nhận chứng chỉ Let’s Encrypt của bạn. Nếu bạn cung cấp API hoặc phải hỗ trợ các thiết bị IoT, bạn có thể phải chú ý hơn một chút đến sự thay đổi. Let’s Encrypt có một “chứng chỉ gốc” được gọi là ISRG Root X1. Các trình duyệt và thiết bị hiện đại tin tưởng chứng chỉ Let’s Encrypt được cài đặt trên trang web của bạn vì chúng bao gồm ISRG Root X1 trong danh sách chứng chỉ gốc của chúng. Để đảm bảo chứng chỉ chúng tôi phát hành đáng tin cậy trên các thiết bị cũ hơn, chúng tôi cũng có “chữ ký chéo” (cross-signature) từ chứng chỉ gốc cũ hơn: DST Root CA X3. (Dẫn lời từ trang chủ letsencrypt.org)

Ở thời điểm bắt đầu, chứng chỉ gốc cũ hơn đó (DST Root CA X3) đã giúp Let’s Encrypt khởi đầu và được hầu hết mọi thiết bị tin tưởng ngay lập tức. Chứng chỉ gốc mới hơn (ISRG Root X1) hiện cũng được tin cậy rộng rãi – nhưng một số thiết bị cũ hơn sẽ không bao giờ tin tưởng vào chứng chỉ này vì chúng không nhận được bản cập nhật phần mềm (ví dụ: iPhone 4 hoặc HTC Dream).

  • Danh sách các nền tảng tin cậy ISRG Root X1

https://letsencrypt.org/docs/certificate-compatibility/

DST Root CA X3 sẽ hết hạn vào ngày 30 tháng 9 năm 2021. Điều đó có nghĩa là những thiết bị cũ hơn không tin tưởng ISRG Root X1 sẽ bắt đầu nhận được cảnh báo về chứng chỉ khi truy cập các trang web sử dụng chứng chỉ Let’s Encrypt. Có một ngoại lệ quan trọng: các thiết bị Android cũ hơn không tin tưởng ISRG Root X1 sẽ tiếp tục hoạt động với Let’s Encrypt, nhờ dấu chéo đặc biệt từ DST Root CA X3 kéo dài quá thời hạn của root đó. Ngoại lệ này chỉ hoạt động cho Android.

Vậy điều bạn nên làm hiện tại là gì?

Đối với hầu hết mọi người, không có gì cả! Let’s Encrypt đã thiết lập việc cấp chứng chỉ của mình để trang web của bạn sẽ hoạt động đúng trong hầu hết các trường hợp, ưu tiên khả năng tương thích rộng rãi. Nếu bạn cung cấp API hoặc phải hỗ trợ các thiết bị IoT, bạn sẽ cần đảm bảo hai điều:

  • tất cả các ứng dụng khách của API của bạn phải tin cậy ISRG Root X1 (không chỉ DST Root CA X3)
  • nếu khách hàng của API của bạn đang sử dụng OpenSSL, họ phải sử dụng phiên bản 1.1.0 trở lên. Trong OpenSSL 1.0.x, một sai sót trong xác minh chứng chỉ có nghĩa là ngay cả những ứng dụng khách tin tưởng ISRG Root X1 cũng sẽ không thành công khi được hiển thị với chuỗi chứng chỉ tương thích với Android mà chúng tôi đang đề xuất theo mặc định.

Bài viết cụ thể được dẫn tại:

https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

thông tin thêm về những thay đổi trong Production Chain

https://community.letsencrypt.org/t/production-chain-changes/150739

VỚI VẤN ĐỀ GẶP PHẢI, GIẢI PHÁP ĐƯỢC ĐƯA RA LÀ:

1- Cập nhật RootCA

Trong hầu hết các trường hợp, hệ thống của bạn sẽ tự động chuyển sang chuỗi đáng tin cậy tiếp theo mà chúng có thể tìm thấy.

Trong một số trường hợp, chứng chỉ bị coi là không đáng tin cậy hoặc không hợp lệ, bạn có thể thử theo các cách sau:

 + Nếu máy chủ sử dụng là windows chạy webserver là IIS => Bạn có thể reset iis hoặc đơn giản hơn là thực hiện restart máy chủ

 + Nếu máy chủ sử dụng webserver không phải là IIS

=> Bạn thực hiện download RootCA tại: https://letsencrypt.org/certs/isrgrootx1.txt

=> Cập nhật RootCA mới này

2- Cập nhật thiết bị của người dùng

  • Sử dụng trình duyệt Firefox, cập nhật lên phiên bản mới nhất để  sửa lỗi
  • Nếu bạn đang sử dụng Windows version cũ, lời khuyên là bạn nên cập nhật win lên bản mới hoặc cài mới lại hệ điều hành Windows 10, 11 tải từ trang chủ Microsoft. Khi đó hệ thống của bạn sẽ luôn chủ động cập nhật xác thực những thay đổi về chứng chỉ bên phía website.
  • Đối với macOS, iOS, v.v. : chúng giữ lại CA đã hết hạn   nên bạn có thể thử reset các thiết bị sau đó thử truy cập lại.
  • Cập nhật chứng chỉ ISRG Root X1 cho hệ điều hành theo cách thủ công. Tải RootCA theo isrgrootx1.der rồi cài đặt.

3- Mua chứng chỉ thương mại trả phí và cài đặt lên trên hệ thống (KHUYẾN CÁO)

Chúng tôi khuyến cáo các bạn nên xử lý theo phương án này để vấn đề được giải quyết triệt để.

Liên hệ Nhân Hòa để có được giá tốt nhất, cũng như hướng dẫn cài đặt trên dịch vụ.

Xin cảm ơn!

01/03/2022
Was this article helpful?

Trả lời

Email của bạn sẽ không được hiển thị công khai.