Как не потерять трафик из-за истекшего сертификата?

30 сентября истек срок действия корневого сертификата IdenTrust DST Root CA X3 от центра Let’s Encrypt, предоставляющего бесплатные криптографические сертификаты для 250 млн доменных имен. 

А новый промежуточный сертификат под названием ISRG Root X1 не поддерживается операционными системами предыдущих поколений. 

Это сломает работу интернета на сотнях устройств по всему миру, которые давно не получали обновления прошивки (одних только Android-гаджетов среди них более 213 млн). Из-за чего обладатели многих моделей смартфонов, планшетов и ПК не смогут открыть большое количество сайтов.

Проблема может коснуться таких устройств:

• iPhone и iPad с версией iOS 9 или старше, например, iPhone 5;
• ноутбуки MacBook с macOS 10.12.0 и старше;
• cмартфоны на базе и Android 2.3.6 и старше;
• ПК с Windows XP Service Pack 2, Ubuntu старше 16.04, Debian 8, Java 8 старше версии 8u141, Java 7 старше 7u151, NSS старше 3.26.
• старые модели смарт-телевизоров и устройств Интернета вещей (IoT);
• PlayStation 3 и PlayStation 4 с версией прошивки старше 5.00;
• Nintendo 3DS.

Решить проблему можно двумя способами: или установкой свежего ПО, или покупкой современного устройства.

Что такое корневые сертификаты и как они работают?

Каждая система, проверяющая цифровые сертификаты, имеет собственное хранилище доверенных корневых сертификатов. Проверку проходят лишь те сторонние сертификаты, которые подписаны при помощи закрытого ключа одного из корневых.

Стоит отметить, что в настоящий момент для сертификатов Let’s Encrypt по умолчанию устанавливается такая цепочка доверия:
IdenTrust”s DST Root CA X3 -> ISRG Root X1 -> Let’s Encrypt R3 -> Конечный сертификат пользователя.

Как уберечься от потери трафика при работе с ПП по API?

Если вы работаете по API и отправляете заказы через сервер или трекер, вам необходимо быть уверенным, что данные системы также обновили свои корневые сертификаты и у вас не будет никаких потерь. 

Для диагностики вы можете ввести в консоли сервера и нажать Enter: 

curl https://tracker.everad.com/click

Если в консоли будет пусто – тогда у вас все отлично, и можете не переживать об опасности.

А  если будет текст такого плана –  curl: (60) server certificate verification failed, тогда вам необходимо обновить софт самостоятельно, или обратиться в тех. поддержку вашего сервера.

Так а что сейчас?

В нынешнем году Let’s Encrypt перешла на использование собственного сертификата ISRG Root X1, срок действия которого закончится только в 2035 году. Хотя большинство Android-устройств (в частности, Android Nougat 7.1.1 и более ранние версии) до сих пор не доверяют этому сертификату, Let’s Encrypt получила кросс-подпись для своего сертификата, срок действия которой превышает срок действия корневого сертификата. Благодаря этому большинство Android-устройств должны работать без сбоев в течение еще трех лет.

Тем не менее, некоторые Android-устройства по-прежнему могут столкнуться с проблемами, предупреждает Let’s Encrypt и рекомендует пользователям Android (Lollipop) 5.0 установить Firefox.

Подробнее о проблеме читайте здесь и пусть ничто не помешает вашему трафику литься на максимум!