30 сентября 2021 года закончилось действие корневого сертификата IdenTrust DST Root CA X3. Из-за этого владельцы старых устройств (в том числе, старых девайсов Apple, Android, умных ТВ и т.д.) не смогут заходить на часть сайтов. По данным AIN.UA, у некоторых украинских компаний проседание по трафику из-за этого уже составило 5% или больше. Рассказываем, что произошло, и что с этим делать.
Что произошло
Чтобы у сайта не было проблем с отображением в современных браузерах, он должен быть защищен сертификатом безопасности (SSL/TLS-сертификатом). Проверить, каким сертификатом защищен сайт, к примеру, в Chrome или Firefox, можно, нажав на значок замка в адресной строке:
Один из популярных провайдеров таких ключей — Let’s Encrypt. Его сертификаты — бесплатны, и на сентябрь 2021 года он выдал уже свыше 2 млрд таких сертификатов.
30 сентября 2021 года завершился срок действия корневого сертификата IdenTrust DST Root CA X3. Проблема в том, что этот корневой сертификат использует и Let’s Encrypt. Это, в свою очередь, значит, что браузеры перестанут пускать многие устройства на старых ОС (тем более, устройства, которые нечасто обновляются или не имеют такой возможности) на сайты, защищенные ключами Let’s Encrypt. Более детально с технической точки зрения эту проблему описывает специалист по кибербезопасности Скотт Хельм, также о проблеме можно прочитать на «Хабре».
Для пользователей устройств со старыми ОС (это может быть и компьютер на Windows XP, и старый смарт-ТВ) это означает, что они не смогут открывать часть сайтов. А для компаний — что может проседать трафик. По данным AIN.UA, некоторые украинские компании уже столкнулись с падением трафика на 5% и выше из-за этой ситуации.
Как это починить
Для AIN.UA эту проблему прокомментировал Дмитрий Кохманюк, представитель администрации домена .UA. Приводим его комментарий ниже:
«Эта ситуация может затронуть старые системы Windows, iPhone/iPad, хуже всего придется старым смарт-телевизорам на Android и другим подобным устройствам: часто их производитель не очень задумывается о поддержке.
Суть проблемы в том, что Let’s Encrypt выдает ключи, его ключи подписаны вторым ключом (он известен новым ОС); в свою очередь, этот ключ подписывается третьим, широкоизвестным, срок действия которого закончился. Все системы, которые знают ключ 2, будут работать, а те, которые знают только третий — перестанут видеть часть сайтов.
Выходом для пользователя является ручное добавление ключа 2 в базу доверенных ключей компьютера/телефона/планшета/телевизора. Если точнее, добавляется не ключ, а его публичная половина и контрольная сумма — т.е. достаточно информации, чтобы пользовательская система могла проверить подпись сайта», — объясняет эксперт.
К примеру, для Windows 7 эту проблему решают обновления KB3020369 и KB3125574 (их можно качать из официального каталога обновлений). Microsoft предоставляет обновления безопасности и для других старых версий ОС.
А для старых Android-телефонов (к примеру на Android Lollipop 5.0) рекомендуют установить браузер Firefox: в отличие от встроенных в Android браузеров, Firefox устанавливается на устройство с собственным списком корневых сертификатов, которым он доверяет.