30-ого сентября 2021 года закончилось действие IdenTrust DST Root CA X3, одного из корневых сертификатов безопасности сертификационного центра Let's Encrypt. Многие старые (сравнительно, 5-6 лет) системы в результате этого перестали доверять Пинап которые были подписаны с использованием этого корневого сертификата, что в конечном итоге может выражаться в проблемах с доступом к различным доменам. В частности - проблемы могут возникать с запросами API к сервису Himinfo со старых компьютеров.
Let's Encrypt выпустил ISRG Root X1 для замены просроченного сертификата, однако Пинап старые системы до сих пор могут ему не доверять, и потому могут из соображений безопасности ограничивать доступ к доменам, подписанным с его помощью. Для того что бы решить проблемы, вызванные этим, выполните следующие шаги:
1)(опционально)Убедитесь, что ваша система доверяет сертификату Пинап Root X1
Большинство сравнительно современных систем (выпущенных в пределах ~5 лет назад) доверяют этому сертификату, поэтому Пинап пользователей могут этот шаг пропустить. Если у вас есть сомнения - то с полным списком тех, кто доверяет ISRG Root X1, можно ознакомиться на сайте Let's Encrypt:
2)(опционально)Если ваша система использует OpenSSL - убедитесь, что она обновлена по крайней мере до Пинап 1.1.0
Особенность проверки сертификата в OpenSSL версий до 1.1.0 заключается в том, что присутствие в цепочке сертификатов просроченного DST Root CA X3 приведёт к тому, что конечный сертификат будет признан недействительным, а использующие его домены - небезопасными. Рекомендованный способ решить эту проблему - обновиться.
После этого нужно вручную добавить сертификат ISRG Root X1. Ниже приведено как сделать это в Пинап 10, однако для большинства более-менее современных Windows шаги будут идентичны.
3) Скачайте сертификат ISRG Пинап X1
Зайдите на. На этой странице, в разделе Root Certificates, найдите и скачайте ISRG Пинап X1 (Self-signed: der). Скачанный файл isrgrootx1.der сохраните куда-нибудь на видное место.
4) Добавьте этот файл в Пинап сертификатов системы.
Необходимо войти в систему подсистемным пользователемАДМИНИСТРАТОР, и добавлять сертификаты только из под него, для всех пользователей системы. Подробнее о том, как это делать, Пинап.
Зайдите в менюВыполнить(в Пинап Пуск, либо сочетание клавиш Windows + R. В текстовое поле введитеCertmgr.msc, нажмите Enter.
В открывшемся окне найдитеДоверенные и корневые сертификаты-> Сертификаты. Пинап большой список, содержащий все признанные ОС сертификаты.
(пример интерфейса в Windows 7)
В этом окне нажмите правой кнопкой мыши на Пинап менюСертификатыи выберетеВсе задачи-> Импорт, в открывшемся окне укажите путь до скачанного Пинапisrgrootx1.der. Если программа не видит его по адресу - смените Пинап обзора на "все файлы".
После этого выполните установку, следуя дальнейшим Пинап на экране - пока установка не завершится, и система не уведомит, что импорт успешно выполнен.
ВАЖНО!!!
После импорта необходимо перезапустить ПК.
После этого проблемы, Пинап устаревшим сертификатом IdenTrust DST Root CA X3, должны пройти.
ПОЛЕЗНАЯ ИНФОРМАЦИЯ
- Пост пользователя rantal на, с Пинап информацией и полезными решениями для unix-систем.
-
Let's Encrypt выпустил ISRG Root X1 для замены просроченного сертификата, однако Пинап старые системы до сих пор могут ему не доверять, и потому могут из соображений безопасности ограничивать доступ к доменам, подписанным с его помощью. Для того что бы решить проблемы, вызванные этим, выполните следующие шаги:
1)(опционально)Убедитесь, что ваша система доверяет сертификату Пинап Root X1
Большинство сравнительно современных систем (выпущенных в пределах ~5 лет назад) доверяют этому сертификату, поэтому Пинап пользователей могут этот шаг пропустить. Если у вас есть сомнения - то с полным списком тех, кто доверяет ISRG Root X1, можно ознакомиться на сайте Let's Encrypt:
2)(опционально)Если ваша система использует OpenSSL - убедитесь, что она обновлена по крайней мере до Пинап 1.1.0
Особенность проверки сертификата в OpenSSL версий до 1.1.0 заключается в том, что присутствие в цепочке сертификатов просроченного DST Root CA X3 приведёт к тому, что конечный сертификат будет признан недействительным, а использующие его домены - небезопасными. Рекомендованный способ решить эту проблему - обновиться.
После этого нужно вручную добавить сертификат ISRG Root X1. Ниже приведено как сделать это в Пинап 10, однако для большинства более-менее современных Windows шаги будут идентичны.
3) Скачайте сертификат ISRG Пинап X1
Зайдите на. На этой странице, в разделе Root Certificates, найдите и скачайте ISRG Пинап X1 (Self-signed: der). Скачанный файл isrgrootx1.der сохраните куда-нибудь на видное место.
| Цитата |
|---|
| ВАЖНО:ДляWindows 7и Пинап устаревших систем, возможно, потребуется скачать не толькоISRG Root X1--- но ещё ипромежуточный сертификат R3, подписанный Пинап ISRG Root X1. Для этого, не покидая эту страницу, пролистайте её вниз до разделаIntermediate Certificatesи найдите тамLet’s Encrypt R3. Скачайте и его тоже (версиюSПинап by ISGR Root X1: der). После чего все процедуры, описанные ниже ISRG Root X1, выполните и для этого сертификата Пинап |
4) Добавьте этот файл в Пинап сертификатов системы.
Необходимо войти в систему подсистемным пользователемАДМИНИСТРАТОР, и добавлять сертификаты только из под него, для всех пользователей системы. Подробнее о том, как это делать, Пинап.
Зайдите в менюВыполнить(в Пинап Пуск, либо сочетание клавиш Windows + R. В текстовое поле введитеCertmgr.msc, нажмите Enter.
В открывшемся окне найдитеДоверенные и корневые сертификаты-> Сертификаты. Пинап большой список, содержащий все признанные ОС сертификаты.
(пример интерфейса в Windows 7)
В этом окне нажмите правой кнопкой мыши на Пинап менюСертификатыи выберетеВсе задачи-> Импорт, в открывшемся окне укажите путь до скачанного Пинапisrgrootx1.der. Если программа не видит его по адресу - смените Пинап обзора на "все файлы".
После этого выполните установку, следуя дальнейшим Пинап на экране - пока установка не завершится, и система не уведомит, что импорт успешно выполнен.
ВАЖНО!!!
После импорта необходимо перезапустить ПК.
После этого проблемы, Пинап устаревшим сертификатом IdenTrust DST Root CA X3, должны пройти.
ПОЛЕЗНАЯ ИНФОРМАЦИЯ
- Пост пользователя rantal на, с Пинап информацией и полезными решениями для unix-систем.
-
Изменено:-22.11.2021 11:48:05