• Главная
  • Блог
  • Пользователям сертификатов Let's Encrypt — что делать после 11 января 2021?

Пользователям сертификатов Let's Encrypt —

что делать после 11 января 2021?

Это перевод официальной статьи Let's Encrypt

11 января 2021 года, Let's Encrypt изменит свою стандартную цепочку сертификатов с использования старого корневого сертификата Identrust на свой собственный современный корневой сертификат ISRG. Подробнее об этом изменении читайте в блоге Let's Encrypt.

Для пользователей Certbot это произойдет автоматически при обновлении сертификата. Вам не нужно ничего делать, чтобы начать использовать цепочку сертификатов ISRG.

До 1 июля 2021 года, Let's Encrypt также продолжит предлагать цепочку сертификатов Identrust, для тех, кто хочет продолжать ее использовать.

Однако есть одна небольшая проблема...

Цепочка сертификатов Identrust, которая будет действовать до 1 июля 2021 года, совместима с чуть большим количеством старых устройств, чем цепочка сертификатов ISRG.

Известны случаи несовместимости цепочки ISRG:

  •  Android < 7.1.1 (до 33,8% устройств Android, составляющих 1-5% трафика)

  • iOS < 9 (менее 6% устройств)

Если вы хотите сохранить совместимость с этими старыми устройствами еще на 6 месяцев, вы можете продолжить использование цепочки Identrust.

Как мне продолжать использовать цепочку сертификатов Identrust?

Если вы хотите продолжать использовать цепочку сертификатов Identrust, эта опция доступна для пользователей Certbot версии 1.6.0 или более новой:

sudo certbot --version

Если у вас есть более старая версия Certbot, проверьте, доступна ли более новая версия, используя официальную инструкцию .

Чтобы продолжить использование Identrust для всех ваших сертификатов, вы можете настроить эту опцию в файле /etc/letsencrypt/cli.ini , добавив эту строку:
preferred-chain = DST Root CA X3
Если вам сложно редактировать файлы в терминале, вы также можете запустить эту команду, чтобы убедиться, что строка добавлена (только для Linux):
sudo sed -ni -e '/^preferred-chain/!p' -e '$apreferred-chain = DST Root CA X3' /etc/letsencrypt/cli.ini
Это изменение вступит в силу при следующем продлении сертификатов.

Если нужно использовать цепочку Identrust для получения только одного сертификата

Чтобы использовать цепочку Identrust только для конкретного сертификата, вы можете передать опцию в командной строке при создании или обновлении сертификата:
sudo certbot -d example.com --preferred-chain "DST Root CA X3"

Что будет после 1 июля 2021 года?

После этой даты Let's Encrypt больше не будет предлагать цепочку сертификатов Identrust. Вам не нужно ничего делать, чтобы подготовиться к этому. При следующем обновлении Certbot переключится на цепочку сертификатов ISRG.

Хотя кросс-подпись Identrust истекает 29 сентября 2021 года, сервер Let's Encrypt ACME перестанет предлагать цепочку сертификатов Identrust примерно за 90 дней до этой даты. Это необходимо для того, чтобы убедиться, что все установленные цепочки сертификатов действительны в течение всего 90-дневного срока действия сертификата Let's Encrypt.


Если будут вопросы  по статье – вы можете задавать их в нашем чате телеграм –  https://t.me/projoomla