- Identrust dst root ca x3 android
- 1 октября сотни миллионов iPhone, Android и ПК на Windows останутся без интернета. Как решить проблему
- Интернет – только для новых устройств
- Кто в зоне риска
- Способы решения
- Время на подготовку было
- Let’s Encrypt — истёк срок действия корневого сертификата IdenTrust DST Root CA X3
- Android 6.0.1 — установка сертификата ISRG Root X1
- Просмотр сертификатов на Android 6.0
- Добавляем ISRG Root X1 в список доверенных сертификатов на Android 6.0
Identrust dst root ca x3 android
30 сентября 2021 истекает DST Root CA X3 root certificate
Для тех аппаратов, в которых уже есть ISRG Root X1 root certificate (во многих Windows 10 Mobile Build 1709 и некоторые телефоны на сборке 1703), это не создаст никаких проблем.
А вот там, где этого ISRG Root X1 сертификата нет, будет плохо. Ориентировочно (не точно) речь идет о телефонах (Windows Phone, iPhone, Blackberry), которые не получали системные обновления после 2016 года. Для Андроидов 2.3.6 — 4.4.4 проблема решена специальным хаком со стороны LetsEncrypt
Для W10M есть приложение из магазина Сертификаты https://www.microsoft.…tificates/9nblggh0bn0m и можно проверить, что установлено.
На все, что ниже build 1703 и, скорее всего, на WP 8.1 будут проблемы
Я переупаковал установочный файл приложения «Сертификаты» в appx для ручной установки на WP 8.1 и W10М
Certificates.zip ( 165.76 КБ )
Update: Вроде нашел решение проблемы: скачать прилагаемый сертификат на телефон, убрать расширение txt и установить с помощью File Manager-a
isrg.pem.txt ( 1.9 КБ )
Сообщение отредактировал symnok — 30.09.21, 17:51
Приложение «Сертификаты» — APPX. Для установки на WP8.1 надо перепаковать в неподписанный APPX с удалением нескольких файлов, либо запаковать в неподписанный APPXBUNDLE.
Windows RT и UWP-приложения (Пост deleted. #42742596)
Сообщение отредактировал deleted. — 30.09.21, 23:57
Вроде нашел решение проблемы: скачать прилагаемый сертификат на телефон, убрать расширение txt и установить с помощью File Manager-a
Спасибо.
Переупаковал файл в appx для ручной установки на WP 8.1
Certificates.zip ( 165.76 КБ )
Вроде нашел решение проблемы: скачать прилагаемый сертификат на телефон, убрать расширение txt и установить с помощью File Manager-a
isrg.pem.txt ( 1,9 КБ )
А какое расширение ставить-то? Как установить?
Сообщение отредактировал LIMONIUS — 30.09.21, 13:34
Сообщение отредактировал symnok — 30.09.21, 16:40
Скачать прилагаемый файл на телефон, убрать расширение txt и установить с помощью File Manager-a (нажать пальцем на файл сертификата в File Manager-e)
Во-первых, подожди несколько дней, пока очистится карма протухнет кэш на разных серверах.
Во-вторых, возможно у тебя есть нужный сертификат.
В-третьих — проблемы будут только с сайтами и сервисами, использующими SSL сертификаты от Let’s Encrypt.
Источник
1 октября сотни миллионов iPhone, Android и ПК на Windows останутся без интернета. Как решить проблему
В конце сентября 2021 г. истекает срок действия корневого сертификата IdenTrust DST Root CA X3. Это сломает работу интернета на сотнях устройств по всему миру, которые давно не получали обновления прошивки. Одних только Android-гаджетов среди них более 213 млн. Решить проблему можно или установкой свежего ПО, или покупкой современного устройства.
Интернет – только для новых устройств
30 сентября 2021 г. миллионы пользователей по всему земному шару больше не смогут пользоваться многими интернет-сайтами. Проблема кроется в корневом сертификате IdenTrust DST Root CA X3 некоммерческого удостоверяющего центра Let’s Encrypt, основанного в конце 2015 г. Он предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает защищенную (зашифрованную) передачу данных между узлами сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не сможет.
Сертификат IdenTrust DST Root CA X3 устареет 30 сентября 2021 г. в 17:01 по Москве, то есть приблизительно через сутки с момента публикации данного сертификата. Факт наличия проблемы осветил на своем сайте специалист по информационной безопасности Скотт Хелме (Scott Helme).
Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows.
IdenTrust DST Root CA X3 применялся для кросс-подписи корневого сертификата удостоверяющего центра ISRG Root X1, тоже принадлежащего Let’s Encrypt. Именно перекрестная подпись позволила использовать сертификат Let’s Encrypt на широком спектре устройств, что в итоге и привело к проблеме, связанной с его устареванием. По истечении срока его действия пользователи не смогут воспользоваться сайтами и веб-сервисами, которые используют его.
Кто в зоне риска
Трудности в пользовании интернетом в конце сентября 2021 г. возникнут в первую очередь у владельцев устаревших устройств, в настоящее время переставших получать обновления. В сегменте компьютеров Apple это все ПК и ноутбуки с операционной системой macOS до версии 10.12.1 включительно. Также из-за сертификата Let’s Encrypt посещать различные сайты не смогут те, кто по-прежнему работает в древних версиях Windows (до Windows XP с пакетом обновлений Service Pack 3).
Что касается мобильных устройств, то проблема затронет все смартфоны и планшеты Apple с iOS 10 и старше. Чтобы все работало на Android-смартфонах, ОС должна быть обновлена минимум до версии 7.1.1
Также Скотт Хелме указывает, что значительной доли веб-сайтов и сервисов лишатся и геймеры, играющие на приставках Sony PlayStation 3 и 4 со старыми версиями прошивок. Портативная консоль Nintendo 3DS тоже останется без них, как и все компьютеры и ноутбуки на базе Ubuntu до версии 16.04 и Debian до версии 8.
Но даже на устройствах с современными прошивками и ОС интернет тоже может поломаться. Это произойдет, если пользователь серфит по Сети через браузер Firefox ниже версии 50. Это совсем древняя версия обозревателя – 23 сентября 2021 г. он обновился до 92.0.1.
Для примера, на май 2021 г. во всем мире было более 3 млрд активированных Android-устройств (статистика The Verge). Спустя еще три месяца, в августе 2021 г. из 3,68% из них работало на Android 7.0, еще 4,03% — на Android 6.0 (данные StatCounter). Даже если не учитывать еще более ранние версии ОС, то из-за устаревшего сертификата Let’s Encrypt проблемы с доступом к сайтам возникнут у владельцев более чем 213,3 млн устройств.
Способы решения
Let’s Encrypt осведомлена о сложившейся ситуации. На данный момент она смогла решить проблему только для устройств на базе Android версий от 2.3.6 до 7.1. Однако решение носит временный характер – она получила кросс-подпись для нового промежуточного сертификата, действие которого прекратится в 2024 г. На все остальные устройства из перечисленных оно не распространяется.
Также можно попытаться обновить прошивку устройства или установить более свежую ОС, если такая возможность присутствует. К примеру, для многих старых Android-смартфонов существуют кастомные прошивки на базе современных версий ОС.
Самый очевидный способ не лишиться интернета – это отказаться от использования устаревшего гаджета и заменить его актуальной моделью. четвертый способ подсказали специалисты портала Android Police. Они советуют использовать современную версию браузера Firefox, поскольку у него есть собственное хранилище актуальных корневых сертификатов.
Однако этот способ подойдет далеко не всем. Например, актуальная на 29 сентября 2021 г. версия Firefox для смартфонов поддерживала ОС Android не ниже версии 5.0 Nougat.
Время на подготовку было
Впервые о последствиях использования устройств с устаревшим корневым сертификатом Let’s Encrypt стало известно почти год назад, в середине ноября 2020 г. Однако на тот момент проблема касалась только Android-устройств с прошивкой версии 7.1 и старше.
По данным Android Police, действие сертификата должно было прекратиться 1 сентября 2021 г.
Источник
Let’s Encrypt — истёк срок действия корневого сертификата IdenTrust DST Root CA X3
30 сентября 2021 г окончился срок действия корневого сертификата IdenTrust DST Root CA X3 . А это главный корневой сертификат Let’s Encrypt, которым подписаны уже более 260 миллионов доменных имен в Интернет.
Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации. Это значит, что вы можете для своего сайта установить и автоматизировать обновление SSL сертификата, чтобы ваш сайт работал по HTTPS протоколу. Наш сайт тоже работает с сертификатом Let’s Encrypt.
Событие ожидаемое. Чтобы внезапно все 260 миллионов не перестали открываться в браузерах пользователей, Let’s Encrypt пять лет назад выпустила самоподписанный сертификат ISRG Root X1 , который добавили в качестве второго корневого сертификата и образовали альтернативную цепочку.
Самоподписанный сертификат – это сертификат, который формируется без подтверждения стороннего центра сертификации.
На август 2021 эта схема богаче:
За пять лет сертификат ISRG Root X1 должен был распространиться по миру. Производители устройств, приложений и операционных систем должны были добавить этот сертификат в список доверенных корневых центров сертификации.
План был такой, если браузер не сможет проверить подлинность одной цепочки, то перейдёт на альтернативную. Что, собственно, вчера и произошло.
Всё бы хорошо, но не все системы поддерживают новый корневой сертификат ISRG Root X1 . Поддержка есть:
- Windows >= XP SP3 (при автоматическом обновление корневых сертификатов)
- macOS >= 10.12.1
- iOS >= 10
- iPhone 5 и выше могут быть обновлены до iOS 10 с поддержкой сертификата ISRG Root X1
- Android >= 7.1.1 (но Android >= 2.3.6 будет работать из-за специального шаманства)
- Mozilla Firefox >= 50.0
- Ubuntu >= xenial / 16.04 (с обновлениями)
- Debian >= jessie / 8 (с обновлениями)
- Java 8 >= 8u141
- Java 7 >= 7u151
- NSS >= 3.26
Соответственно, все системы, которые не доверяют сертификату ISRG Root X1 , будут открывать сайты с сертификатом Let’s Encrypt вот так:
Источник
Android 6.0.1 — установка сертификата ISRG Root X1
30 сентября 2021 г окончился срок действия корневого сертификата IdenTrust DST Root CA X3. Вместо него теперь должен использоваться самоподписанный сертификат ISRG Root X1, который добавили в качестве второго корневого сертификата и образовали альтернативную цепочку.
Не все версии Android поддерживают новый корневой сертификат ISRG Root X1. Поддержка есть у Android >= 7.1.1. Пишут, что Android от 2.3.6 до 4.4.4 должен работать из-за специального шаманства. В Android 6.0.1 у меня те сайты, сертификаты которых пошли по цепочке до IdenTrust DST Root CA X3, открылись, несмотря на то, что срок действия сертификата истёк. А те сайты, сертификаты которых пошли по цепочке до самоподписанного ISRG Root X1, не открылись, потому что его нет в списке доверенных.
Соответственно, все системы, которые не доверяют сертификату ISRG Root X1, будут открывать сайты с сертификатом Let’s Encrypt вот так:
На моём телефоне с Andriod 6.0.1 Marshmallow сертификат ISRG Root X1 отсутствует в списке доверенных, поэтому сайты с сертификатом Let’s Encrypt у меня перестали открываться.
Можно, конечно, каждый раз нажимать на кнопку «Дополнительные», потом на ссылку «Перейти на сайт. (небезопасно)». Тогда сайт откроется.
Можно купить новый телефон, бугагашечки. Можно установить браузер Mozilla Firefox, у него собственный набор доверенных сертификатов, который постоянно обновляется. Но всё-таки хотелось бы, чтобы всё само открывалось без танцев с бубнами в привычном встроенном браузере. И на привычном старом телефоне.
Просмотр сертификатов на Android 6.0
Посмотрим, какие сейчас используются сертификаты. Нажимаем на значок слева от URL — ⓘ. Открывается окно «Незащищённое подключение».
Для просмотра сертификатов нажимаем ссылку «Данные сертификата».
Сертификат выдан Let’s Encrypt. Срок действия ещё не вышел. Посмотрим промежуточный сертификат, стрелка вниз.
Видно только промежуточный сертификат R3, выбираем.
Этот сертификат выдан DST Root CA X3, срок действия которого, как мы знаем, истёк. Более того, срок сертификата R3 тоже истёк. И на этом браузер останавливается и не доверяет сайту. А всё потому, что проверка пошла по основной цепочке. Альтернативная цепочка не была задействована, потому что сертификат ISRG Root X1 неизвестен Android.
Добавляем ISRG Root X1 в список доверенных сертификатов на Android 6.0
Первым делом нужно установить на телефон PIN-код или графический код. Android 6.0.1 позволяет устанавливать собственные сертификаты только с блокировкой экрана. При отключении PIN-кода или графического кода персональные сертификаты будут удалены (не проверял). В любом случае, при попытке добавить сертификат вас попросят включить блокировку экрана.
Идём в Настройки → Экран блокировки и защита → Тип блокировки экрана. Здесь устанавливаем PIN-код или другой способ блокировки.
Идём в Настройки → Экран блокировки и защита → Другие параметры безопасности.
Мотаем вниз и видим нужные нам пункты:
- Сертификаты безопасности
- Сертификаты пользователя
- Установить из памяти
- Удалить учётные данные
Нажимаем Сертификаты безопасности, находим протухший сертификат Digital Signature Trust Co. (DST Root CA X3) и отключаем его, чтобы телефон не пытался использовать эту цепочку.
Скачиваем сертификат ISRG Root X1 и Let’s Encrypt R3 в формате PEM. Я буду ставить оба сертификата.
Нажимаем на сертификат и устанавливаем его. Используется для VPN и приложений.
Второй тоже устанавливаем.
Список установленных сертификатов можно посмотреть в Настройки → Экран блокировки и защита → Другие параметры безопасности → Сертификаты безопасности → Пользователь.
Можно посмотреть подробную информацию о каждом сертификате.
Сертификат безопасности ISRG Root X1 действителен до 2035 года, самоподписанный.
Сертификат безопасности Let’s Encrypt R3 действителен до 2025 года, промежуточный.
Теперь сайты с сертификатами Let’s Encrypt открываются без проблем на телефоне с Android 6.0.1 Marshmallow.
Источник
