закончился ssl сертификат сайт не работает что делать
SSL-сертификаты Let’s Encrypt перестали работать на старых устройствах
30 сентября 2021 сайты с Let’s Encrypt сертификатами перестали открываться у некоторых пользователей. Это произошло из-за того, что закончился срок действия корневого сертификата IdenTrust DST Root CA X3.
При чем здесь корневой сертификат
Дело в том, что любой телефон, компьютер или планшет хранит корневые сертификаты. Эти сертификаты не выпускаются вместе с сертификатом на домен и хранятся на каждом отдельном устройстве. Обновление корневых сертификатов происходит вместе с обновлением версии устройства.
Корневые сертификаты используются для подписания промежуточных сертификатов. А на основе промежуточных выпускаются сертификаты для доменов. Так создается цепочка доверия сертификатов. Когда браузер проверяет, можно ли доверять сайту, он прослеживает всю цепочку от промежуточного сертификата до одного из корневых сертификатов в своем хранилище. Если браузер находит корневой сертификат SSL в хранилище, то показывает сайт пользователю. Если нет, то в браузере появляется окно с ошибкой «Подключение не защищено».
Ошибка SSL-сертификата в браузере
Корневой сертификат Let’s Encrypt ― ISRG Root X1 изначально не мог быстро попасть в хранилища корневых сертификатов большинства устройств. Поэтому для сертификатов Let’s Encrypt используется цепочка доверия, которая ведет к корневому сертификату DST Root CA X3.
Новые версии устройств уже добавили в хранилище корневой сертификат ISRG Root X1, поэтому не идут дальше по цепочке доверия, чтобы проверить сайт.
Цепочка доверия сертификатов Let’s Encrypt на новых устройствах:
А старые версии устройств все еще не распознают новый промежуточный сертификат ISRG Root X1, поэтому цепочка проверки для них выглядит так:
Что случилось с сайтами
30 сентября 2021 закончился срок действия корневого сертификата IdenTrust DST Root CA X3 от центра Let’s Encrypt. Теперь на устройствах, которые не доверяют корневому сертификату ISRG Root X1, возникает проблема с проверкой сертификата Let’s Encrypt и сайты не открываются.
На каких версиях устройств перестали работать SSL-сертификаты Let’s Encrypt:
Что делать
Владелец сайта с сертификатом Let’s Encrypt может сделать следующее:
Используйте промокод BLOGSSL20
при заказе Essential SSL и получите скидку 20%
Решение проблемы с нерабочими сертификатами в Google Chrome (и не только)
Проблема состоит вот в чём: у корневого сертификата Let’s Encrypt кончился срок действия. Google Chrome и браузеры на его основе полагаются на системное хранилище сертификатов, тогда как у Firefox оно своё.
На актуальных системах это решается обновлениями. На Windows «ты бы ещё XP поставил» 8 и 7 нужно обновлять сертификат вручную.
Так на 7 и 8 это тоже решается обновлениями, причём довольно давнишними уже.
Проблема не сейчас возникла как бе, просто дала знать о себе сейчас.
решается обновлениями, причём довольно давнишними уже.
Так много кто сидит на васяносборках (говнорский) в которых отключены обновления, вот и страдают теперь хехе.
Я на самом деле не уверен, что их много прям, но некоторое количество есть, та да
Это вообще где-то закрепить надо, в последнее время часто вопросы об этом вижу.
Это надо закрепить на профильном форуме (думаю, где-то это уже сделали).
Убеди всех вопрошающих обращаться на профильные форумы, а не на дтф
Я б с удовольствием. Но если тут и задают подобные вопросы, это вовсе не значит что сайт (подсайт) нужно превращать в раздел «ответы на популярные вопросы».
Вообще хорошо-бы ограничить подсайт «вопросы» только вопросами на игровую тематику и выбор/обсуждение игровых гаджетов, а все остальное, в том числе и просьбы о помощи с неработающим софтом/железом запретить (можно создать для этого отдельный пользовательский подсайт).
Как устранить ошибки на сайте после подключения SSL-сертификата
Из этой статьи вы узнаете:
На hostenko.com SSL сертификат от Let’s Encrypt вы можете подключить абсолютно бесплатно. Для этого вам нужно зайти в Ваш кабинет,
и в разделе управление хостингом нажать на кнопку «Добавить SSL сертификат Let’s Encrypt».
Также по умолчанию стоит галочка для подключения сертификата безопасности в момент подключения вашего домена к сайту, по желанию эту галочку можно убрать.
После удачной установки сертификата, возле имени домена появится зеленый замок.
Для чего нужен сертификат безопасности?
Возможные ошибки при подключении
При подключении SSL сертификата к сайтам, работающим с версией WordPress 4.4 и ниже, наблюдаются ошибки mixed content.
Причина этих ошибок в том, что ссылки с протоколом http на картинки, шрифты, баннеры, графические элементы шаблона и скрипты расположены на вашем сайте.
Начиная с версии WordPress 4.5 была исправлена ошибка в функции формирования тега «srcset», переопределяющего URL, по которому происходит загрузка элемента. Например, это выглядит так:
В настоящее время тег «srcset» большинство браузеров определяют как приоритетный, поэтому ошибки mixed content появляются только в специфических ситуациях. Проблемы с картинками в теме и плагинах всё так же возможны. Некоторые темы и плагины могут помешать установить параметр srcset как надо, или вообще не дать его вставить.
Также, если вы изменяли исходный код вашей темы оформления и добавляли в него загрузку каких-либо элементов, например, изображений, стоит учитывать, что такие изменения надо будет исправлять вручную.
Ошибки смешанного контента
Они могут появиться в случаях использования плагина для кэширования и некорректной настройке (если сайт не настроен для работы с https). Причина этого в том, что результат обработки обращения к сайту по протоколу HTTP может быть закеширован и отдан посетителю обратившемуся по протоколу HTTPS.
Если у вас возникла подобная проблема, попробуйте:
Рекомендуем перед установкой SSL сертификата на сайт обновить WordPress до самой новой версии, а также все плагины, активированные на сайте.
SSL cертификат Let’s Encrypt X3 истекает сегодня
Начиная с сегодняшнего дня, 30 сентября 2021 года при попытке соединения с сервером по шифрованным протоколам SSL/TLS могут возникать ошибки:
SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.
или другая аналогичная, сообщающая о невозможности установки защищённого соединения. Причина заключается в истечение сегодня срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра (УЦ) Let’s Encrypt. Этим УЦ выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имён), используемых в сети на веб-сайтах, почтовых серверах и других сервисах. Так как срок действия сертификата действителен не позднее 30 сентября 2021 14:01:15 GMT, после этой даты устройства и программы более не могут доверять ему и соединения не будут устанавливаться.
Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако, устройства и операционные системы, не получающие обновления цепочки сертификатов, могут не иметь его в списке доверенных и столкнутся с ошибками SSL соединения. Список такого ПО и операционных систем:
Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.
Windows
В Windows установить корневой сертификат ISRG Root X1 можно запустив оснастку «Сертификаты» командой:
и импортировав в корневые сертификаты учётной записи компьютера файл сертификата.
iOS (iPhone и iPad с ОС до 10 версии)
Android
Устройства с версиями ОС Android до 7.1.1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
Решение, если у вас с 30.09.2021 не открываются сайты https
30 сентября 2021 истек срок действия сертификата DST Root CA X3 Let’s Encrypt. Браузеры Google Chrome, Opera и Edge теперь не могут открыть большинство сайтов https. Лишь Mozilla Firefox работает нормально.
Если у вас установлена не Windows, а иная операционная система, попробуйте обратиться за решением к следующей теме на официальном форуме Let’s Encrypt – https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expiration-september-2021/149190/3
А для Windows простейшим решением будет загрузить сертификат ISRG Root X1 с официального сайта Let’s Encrypt и вручную импортировать его в хранилище доверенных корневых центров сертификации. Для этого:
1. Загрузите версию “Self-signed DER” сертификата ISRG Root X1 со страницы https://letsencrypt.org/certificates/
2. Откройте скачанный вами файл isrgrootx1.der
3. Импортируйте его в хранилище доверенных корневых центров сертификации следующим образом.
Нажмите “Установить сертификат”: 
Выберите “Поместить все сертификаты в следующее хранилище”.
Нажмите “Обзор”.
Выберите “Доверенные корневые центры сертификации”: 
Если появится сообщение с вопросом, ответьте “Да”.
Сегодня читают:
Полезные эко-советы: