Пользователям сертификатов Let's Encrypt —
что делать после 11 января 2021?
Это перевод официальной статьи Let's Encrypt
11 января 2021 года, Let's Encrypt изменит свою стандартную цепочку сертификатов с использования старого корневого сертификата Identrust на свой собственный современный корневой сертификат ISRG. Подробнее об этом изменении читайте в блоге Let's Encrypt.
Для пользователей Certbot это произойдет автоматически при обновлении сертификата. Вам не нужно ничего делать, чтобы начать использовать цепочку сертификатов ISRG.
До 1 июля 2021 года, Let's Encrypt также продолжит предлагать цепочку сертификатов Identrust, для тех, кто хочет продолжать ее использовать.
Однако есть одна небольшая проблема...
Цепочка сертификатов Identrust, которая будет действовать до 1 июля 2021 года, совместима с чуть большим количеством старых устройств, чем цепочка сертификатов ISRG.

Известны случаи несовместимости цепочки ISRG:
-
Android < 7.1.1 (до 33,8% устройств Android, составляющих 1-5% трафика)
-
iOS < 9 (менее 6% устройств)
Если вы хотите сохранить совместимость с этими старыми устройствами еще на 6 месяцев, вы можете продолжить использование цепочки Identrust.
Как мне продолжать использовать цепочку сертификатов Identrust?
Если вы хотите продолжать использовать цепочку сертификатов Identrust, эта опция доступна для пользователей Certbot версии 1.6.0 или более новой:
sudo certbot --versionЕсли у вас есть более старая версия Certbot, проверьте, доступна ли более новая версия, используя официальную инструкцию .
/etc/letsencrypt/cli.ini , добавив эту строку:preferred-chain = DST Root CA X3sudo sed -ni -e '/^preferred-chain/!p' -e '$apreferred-chain = DST Root CA X3' /etc/letsencrypt/cli.iniЕсли нужно использовать цепочку Identrust для получения только одного сертификата
sudo certbot -d example.com --preferred-chain "DST Root CA X3"Что будет после 1 июля 2021 года?
Хотя кросс-подпись Identrust истекает 29 сентября 2021 года, сервер Let's Encrypt ACME перестанет предлагать цепочку сертификатов Identrust примерно за 90 дней до этой даты. Это необходимо для того, чтобы убедиться, что все установленные цепочки сертификатов действительны в течение всего 90-дневного срока действия сертификата Let's Encrypt.
Если будут вопросы по статье – вы можете задавать их в нашем чате телеграм – https://t.me/projoomla