Главная → Новости → 30.09.2021 →

Внезапно: окончание срока действия корневого сертификата DST Root CA X3 сертификатов Let’s Encrypt

Ни для кого не секрет, что сайт — это достаточно сложная с технической точки зрения система, в которой используется большое количество скриптов, функций, текстового контента и графических элементов. В том числе это множество подключаемых по умолчанию или по мере неоходимости файлов, из которых «подхватывается» необходимо содержимое, например, для формирования каких-то текстовых блоков. Не исключение и наш сайт, в котором используются разные сценарии подключения таких ресурсов. И одна из таких функций — PHP-функция file, которая читает содержимое файла на веб-сервере и помещает его в массив.

И вот, 1 октября мы замечаем, что в определенных местах сайта перестал отображаться контент, который, как раз, подхватывается из файла на сервере. Не долго думая, начинаем изучать проблему, для этого добавляем следующие строки в исполняемый скрипт:

ini_set('display_errors',1); error_reporting(E_ALL);

Эти строки «говорят» серверу включить показ предупреждений и ошибок PHP. В итоге получаем:

Warning: file(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/httpd/vhosts/t-design.ru/httpdocs/script/func.php on line XX

Warning: file(): Failed to enable crypto in /home/httpd/vhosts/t-design.ru/httpdocs/script/func.php on line XX

Warning: file(https://www.t-design.ru/script/text.txt): failed to open stream: operation failed in /home/httpd/vhosts/t-design.ru/httpdocs/script/func.php on line XX

Первые результаты поиска по интернету приводили довольно старые на статьи, в которых упоминалась необходимость перехода на более новую версию PHP (выше 5.6). Но на дворе 2021-й год, и используемые на серверах версии уже давно перешагнули за цифру 7. Следовательно, ошибка не связана с версией скрипта.

На помощь пришла техподдержка хостинга, которая прислала ссылку на актуальную статью на Хабре: https://habr.com/ru/post/580092/

Если вкратце, то:

Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?

Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let’s encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let’s Encrypt). За исключением Android >= v2.3.6, т.к. Android не учитывает срок действия своих доверенных корневых сертификатов.

Проблема с доверием возникнет также у систем, использующих OpenSSL версии меньше 1.1.0. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1.0.x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1.0.x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.

30 сентября после окончания срока действия сертификата DST Root CA X3 часть пользователей старых устройств столкнутся с тем, что не смогут корректно открывать сайты, использующие сертификаты Let’s Encrypt.

Для администраторов серверов с не очень современным софтом, которые могут взаимодействовать с сервисами, использующими сертификаты Let’s Encrypt, еще есть несколько дней на то, чтобы всё проверить и подготовиться к часу X.

Все новости

См. также

Все услуги