Kể từ ngày 30 tháng 9 năm 2024, chứng chỉ DST Root CA X3 được sử dụng trong chuỗi trust DST Root cho Let’s Encrypt sẽ hết hạn. Tình trạng này khiến các ứng dụng không nhận ra ISRG Root X1 mới sẽ không thể kiểm tra bảo mật khi truy cập các trang web sử dụng Let’s Encrypt.
Hướng dẫn xử lý DST Root CA X3 hết hạn và LetsEncrypt
Thông tin chi tiết
Các chi tiết về vấn đề này có thể được tìm thấy trong bài đăng sau đây của Let’s Encrypt: DST Root CA X3 Expiration
Bạn không cần lo lắng vì hầu hết các truy cập website sẽ tự động chấp nhận ISRG Root X1 và vẫn sẽ truy cập bình thường. Tuy nhiên, sẽ có một số trường hợp khi truy cập sẽ sẽ gặp phải lỗi liên quan đến kết nối bảo mật như dưới đây:
Kết nối của bạn không phải là kết nối riêng tư
Những kẻ tấn công có thể đang cố gắng đánh cắp thông tin của bạn từ website (ví dụ: mật khẩu, thư hoặc thẻ tín dụng). Tìm hiểu thêm
NET::ERR_CERT_DATE_INVALID3 cách xử lý DST Root CA X3 hết hạn và LetsEncrypt
Cách 1
Nếu sử dụng trình duyệt Firefox, bạn chỉ cần cập nhật trình duyệt và sẽ có thể truy cập lại. Nguyên nhân là các trình duyệt (Chrome, Safari, Edge, Opera) thường tin tưởng các root certificates như hệ điều hành mà chúng đang chạy. Nhưng Firefox thì ngoại lệ:Firefox có kho lưu trữ root certificates của riêng mình. Vì vậy nếu dùng các trình duyệt khác ngoài firefox bạn sẽ cần .
Cách 2
Cập nhật hệ điều hành đang sử dụng lên bản mới nhất, chi tiết các trình duyệt và hệ điều hành hỗ trợ ISRG Root X bạn có thể xem thêm tại đây
- Đối với người dùng sử dụng Windows: Bạn có thể truy cập trên trình duyệt đến địa chỉ sau: https://valid-isrgrootx1.letsencrypt.org/ sẽ nhắc Windows tự động đưa ISRG Root X1 vào root CA của nó.
- Đối với macOS, iOS, v.v. : chúng giữ lại CA đã hết hạn. Do đó, bạn có thể thử reset các thiết bị sau đó thử truy cập lại.
Cách 3
Nếu như vì một số lý do liên quan hệ thống và bảo mật bạn không thể update các thiết bị lên phiên bản mới nhất, bạn có thể đăng ký sử sụng SSL có phí không phải là LetsEncrypt để khắc phục hoàn toàn lỗi này. Bạn có thể đăng ký SSL có phí tại link sau và gửi yêu cầu hỗ trợ để kỹ thuật hỗ trợ cài đặt một cách nhanh chóng tương thích cho hầu hết thiết bị : https://tinohost.com/ssl
Platforms that trust ISRG Root X1
- Windows >= XP SP3 (assuming Automatic Root Certificate Update isn’t manually disabled)
- macOS >= 10.12.1
- iOS >= 10 (iOS 9 does not include it)
- iPhone 5 and above can upgrade to iOS 10 and can thus trust ISRG Root X1
- Android >= 7.1.1 (but Android >= 2.3.6 will work by default due to our special cross-sign)
- Mozilla Firefox >= 50.0
- Ubuntu >= xenial / 16.04 (with updates applied)
- Debian >= jessie / 8 (with updates applied)
- Java 8 >= 8u141
- Java 7 >= 7u151
- NSS >= 3.26
Platforms that trust DST Root CA X3
- Windows >= XP SP3
- macOS (most versions)
- iOS (most versions)
- Android >= v2.3.6
- Mozilla Firefox >= v2.0
- Ubuntu >= precise / 12.04
- Debian >= squeeze / 6
- Java 8 >= 8u101
- Java 7 >= 7u111
- NSS >= v3.11.9
- Amazon FireOS (Silk Browser)
- Cyanogen > v10
- Jolla Sailfish OS > v1.1.2.16
- Kindle > v3.4.1
- Blackberry >= 10.3.3
- PS4 game console with firmware >= 5.00
Known Incompatible
- Blackberry < v10.3.3
- Android < v2.3.6
- Nintendo 3DS
- Windows XP prior to SP3
- cannot handle SHA-2 signed certificates
- Java 7 < 7u111
- Java 8 < 8u101
- Windows Live Mail (2012 mail client, not webmail)
- cannot handle certificates without a CRL
- PS3 game console
- PS4 game console with firmware < 5.00
