DST Root CA X3 hết hạn và let’s encrypt

  • Friday 01/10/2021

DST Root CA X3 hết hạn và let’s encrypt

 

Kể từ ngày 30/9/2021, chứng chỉ gốc DST Root CA X3 của Let’s Encrypt bị hết hạn và phải thay bằng chứng chỉ mới.
Chứng chỉ mới được áp dụng là ISRG Root X1.
Điều này đã gây ra sự cố truy cập cho hàng loạt thiết bị và trang web trên toàn cầu.
Các trang web sử dụng SSL miễn phí, thiết bị cũ và thiết bị iOS bị ảnh hưởng nhiều nhất.
Các chi tiết về vấn đề này có thể được tìm thấy trong bài đăng sau đây của Let’s Encrypt: DST Root CA X3 Expiration
Điều này bạn không cần phải quá lo lắng vì hầu hết các truy cập website sẽ tự động chấp nhận ISRG Root X1 và vẫn sẽ truy cập bình thường.
Tuy nhiên sẽ có một số trường hợp khi truy cập sẽ sẽ gặp phải lỗi liên quan đến kết nối bảo mật như dưới đây:

Trường hợp bạn đang sử dụng trình duyệt Firefox, bạn chỉ cập nhật nó và sẽ có thể truy cập lại.
Lý do là các trình duyệt (Chrome, Safari, Edge, Opera) thường tin tưởng các root certificates như hệ điều hành mà chúng đang chạy.
Firefox là trường hợp ngoại lệ: nó có kho lưu trữ root certificates của riêng mình.
Vì vậy nếu dùng các trình duyệt khác ngoài firefox bạn sẽ cần cập nhật hệ đều hành đang sử dụng lên bản mới nhất, chi tiết các trình duyệt và hệ điều hành hỗ trợ ISRG Root X bạn có thể xem thêm tại đây

Đối với người dùng sử dụng Windows: Bạn có thể truy cập trên trình duyệt đến địa chỉ sau:
https://valid-isrgrootx1.letsencrypt.org/  sẽ nhắc Windows tự động đưa ISRG Root X1 vào root CA của nó.

Đối với macOS, iOS, v.v. : chúng giữ lại CA đã hết hạn   nên bạn có thể thử reset các thiết bị sau đó thử truy cập lại.

Platforms that trust ISRG Root X1

Platforms that trust DST Root CA X3

  • Windows >= XP SP3
  • macOS (most versions)
  • iOS (most versions)
  • Android >= v2.3.6
  • Mozilla Firefox >= v2.0
  • Ubuntu >= precise / 12.04
  • Debian >= squeeze / 6
  • Java 8 >= 8u101
  • Java 7 >= 7u111
  • NSS >= v3.11.9
  • Amazon FireOS (Silk Browser)
  • Cyanogen > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • Blackberry >= 10.3.3
  • PS4 game console with firmware >= 5.00

Known Incompatible

  • Blackberry < v10.3.3
  • Android < v2.3.6
  • Nintendo 3DS
  • Windows XP prior to SP3
    • cannot handle SHA-2 signed certificates
  • Java 7 < 7u111
  • Java 8 < 8u101
  • Windows Live Mail (2012 mail client, not webmail)
    • cannot handle certificates without a CRL
  • PS3 game console
  • PS4 game console with firmware < 5.00

Tham khảo thêm các bài viết về SSL tại PA Việt Nam.

P.A Việt Nam giúp các bạn lựa chon chứng chỉ SSL phù hợp với nhu cầu:
https://www.pavietnam.vn/vn/tu-van-ssl.html
Tham khảo chứng chỉ số SSL của các hãng bảo mật nổi tiếng
Sectigo – Comodo
Geotrust
Digicert

Tham khảo các ưu đãi:https://www.pavietnam.vn/vn/tin-tuc-chuong-trinh-khuyen-mai-ten-mien-hosting.html