Известны случаи несовместимости цепочки ISRG:
-
Android < 7.1.1 (до 33,8% устройств Android, составляющих 1-5% трафика)
-
iOS < 9 (менее 6% устройств)
Если вы хотите сохранить совместимость с этими старыми устройствами еще на 6 месяцев, вы можете продолжить использование цепочки Identrust.
Как мне продолжать использовать цепочку сертификатов Identrust?
Если вы хотите продолжать использовать цепочку сертификатов Identrust, эта опция доступна для пользователей Certbot версии 1.6.0 или более новой:
sudo certbot --version
Если у вас есть более старая версия Certbot, проверьте, доступна ли более новая версия, используя официальную инструкцию .
Чтобы продолжить использование Identrust для всех ваших сертификатов, вы можете настроить эту опцию в файле /etc/letsencrypt/cli.ini , добавив эту строку:
preferred-chain = DST Root CA X3
Если вам сложно редактировать файлы в терминале, вы также можете запустить эту команду, чтобы убедиться, что строка добавлена (только для Linux):
sudo sed -ni -e '/^preferred-chain/!p' -e '$apreferred-chain = DST Root CA X3' /etc/letsencrypt/cli.ini
Это изменение вступит в силу при следующем продлении сертификатов.
Если нужно использовать цепочку Identrust для получения только одного сертификата
Чтобы использовать цепочку Identrust только для конкретного сертификата, вы можете передать опцию в командной строке при создании или обновлении сертификата:
sudo certbot -d example.com --preferred-chain "DST Root CA X3"
Что будет после 1 июля 2021 года?
После этой даты Let's Encrypt больше не будет предлагать цепочку сертификатов Identrust. Вам не нужно ничего делать, чтобы подготовиться к этому. При следующем обновлении Certbot переключится на цепочку сертификатов ISRG.
Хотя кросс-подпись Identrust истекает 29 сентября 2021 года, сервер Let's Encrypt ACME перестанет предлагать цепочку сертификатов Identrust примерно за 90 дней до этой даты. Это необходимо для того, чтобы убедиться, что все установленные цепочки сертификатов действительны в течение всего 90-дневного срока действия сертификата Let's Encrypt.
