До недавнего времени, а точнее до 1 октября 2021 года я не мог назвать ни одной точной причины для использования платного сертификата вместо бесплатного Let’s Encrypt.

Да, сертификат LE выдаётся всего на 3 месяца, но его продление происходит автоматически (настроил и забыл), что гораздо лучше ежегодной возни с платным сертификатом (заказать, скачать, подключить), либо рвать волосы на спине, когда вспомнил о продлении сертификата по факту его просрочки.

Да, сертификат LE не проверяет данные компании или физлица, проверяет только владение доменом, но проверки владения доменом вполне достаточно. Вы лично сколько раз отказывались оставлять на сайте персональные данные или оплаты на сайте после тщательного изучения его сертификата?

Да, сертификат LE не подойдёт для установки на сайты банков, платёжных систем, etc., но мне-то какое горе?

Да, сертификат LE — это не про понты, но и не про зашквар.

Да, компания Internet Security Research Group (ISRG), ответственная за выпуск LE-сертификатов, не покроет ваши финансовые убытки в случае их возникновения по причине уязвимости в сертификате, если таковая причина даже будет доказана. Но я час искал прецеденты подобных компенсаций от компаний, выпускающих платные сертификаты, и не нашёл. Да и сомнительно как-то... По аналогии после ограбления квартиры можно пытаться требовать компенсации с изготовителя ключа от квартиры, где деньги лежали.

Других минусов сертификатов LE не нашёл, либо они были устранены за годы развития и модернизации сервиса Let’s Encrypt. Но потом случилось 1 октября 2021 года.

В этот момент закончился срок действия цифрового корневого сертификата IdenTrust DST Root CA X3, с которым компания Let’s Encrypt создала перекрёстную подпись своего корневого сертификата в 2015 году для создания доверительных отношений с популярным ПО, доверяющим сертификации IdenTrust. Это не вызвало каких-либо неполадок в большинстве современных ОС, ведь Let's Encrypt уже давно имеет собственный корневой сертификат ISRG Root X1, и большинство операционных систем и браузеров могут работать с ним.

Пример цепочки сертификата сайта hyperseo.ru

Но некоторые операционные системы или отдельное ПО по какой-то причине оказались не в курсе этой суеты с корневыми сертификатами. У меня возникла проблема на одном компьютере с Win8 (обновления включены и устанавливаются). Решил вопрос по этой инструкции:
https://safezone.cc/threads/ne-otkryvaetsja-sajt-oshibka-podkljuchenija-ssl-istek-sertifikat-r3-lets-encrypt.39406/
Только сертификат скачивал этот:
https://letsencrypt.org/certs/isrgrootx1.der с официального сайта, т.к. для скачки с форума safezone нужна авторизация. Это самоподписанный сертификат ISRG Root X1 без перекрёстной подписи с отвалившимся X3.

Но это ещё не всё. На трёх серверах стали сбоить веб-сервисы, выполняющие запросы по https. Воспользовался этой инструкцией:
https://my.hostiman.ru/knowledge/31/530-kak-obnovit-kornevoy-sertifikat-lets-encrypt-na-servere
На одном сервере решило проблему, на двух других запросы на https стали проходить нормально после шаманства с Апачем и PHP.

Пожалуй, это не конец истории, а только её начало. Я ещё ничего не написал про старые сматфоны и смарт-телевизоры, которые утратили доступ к сайтам с сертификатами LE. Возня с ними меня пока не коснулась.

P.S.: Перестали работать https-запросы в WordPress, что делать? На этот вопрос отвечает статья широко известного в узких кругах WP-мастера:
https://wp-kama.ru/note/perestali-rabotat-curl-zaprosy-v-wordpress-chto-delat
Не буду переписывать. В кратце, у WP тоже есть свой список доверенных корневых сертификатов, расположенный по адресу /wp-includes/certificates/ca-bundle.crt
Специально сегодня (10 октября 2021, спустя 10 дней после появления проблемы) скачал самый свежий релиз WP. И вот что вижу:

Просроченный сертификат — виновник торжества, ещё не удалён из дистрибутива WP

Потому баг с https-запросами на сайты с сертификатом LE по сей день администратор WP должен фиксить вручную — например, по инструкции в ссылке выше (или, как вариант, удалением из файла ca-bundle.crt просроченного сертификата, хотя в принципе ручное вмешательство в файлы движка не является православным/феншуйным методом).

А, кстати, https-запросы используют, например, некоторые кэширующие плагины, в частности «WP Super Cache». Поэтому я, как обладатель бесплатного сертификата от LE на сайте с бесплатным движком WP, чувствую сейчас привкус чего-то неприятного во рту. И что я делаю? Разбираюсь в теме, становлюсь чуточку более эрудированным с чуточку более дёргающимся глазом, вношу багфиксы в системы, пишу этот высер и... Продолжаю пользоваться халявой.

Запись опубликована 5 октября 2021 года. В рубрике «Web-кодинг» есть ещё несколько интересных постов:

Подписка на RSS канал блога RSS подписка (как это?) поможет вам не пропустить ничего интересного на этом блоге.