Завершение срока действия AddTrust сертификата от Sectigo

Что делать в случае, если вы использовали сертификат AddTrust от Sectigo? Если корневой сертификат применялся на веб-сайте и доступ к нему происходил только с помощью браузеров, то никаких действий не потребуется. Современные браузеры выполняют автоматическое переключение на новый корень SHA-2 root (COMODO или USERTrust). В случае, если доступ к AddTrust происходил с помощью устаревших браузеров или из иных устройств, или приложений, кроме браузеров, тогда могут возникнуть проблемы с соединением. 

Почему возникает ошибка? 

Во время подключения, TLS-сервер отправляет клиенту сертификат. Браузер выстраивает цепочку сертификатов – от сертификата на сервере до корневого сертификата. Для этого сервер отправляет несколько промежуточных сертификатов, включая свой собственный. 

Современные браузеры могут построить эту цепочку самостоятельно, однако устаревшие браузеры и клиенты, которые все еще используют OpenSSL 1.0.x или GnuTLS, увидят сообщение о небезопасном соединении.

Как проверить мой сертификат? 

Для начала нужно проверить, использует ли ваш сайт просроченный корневой сертификат цепочки:

1. Перейдите по ссылке на декодер сертификата;
2. Введите имя хоста вашего сайта и соответствующий порт;
3. Нажмите Check;
4. Прокрутите вниз до раздела Certificate #3;
5. Если вы видите AddTrust External CA Root в качестве общего имени выпускающей стороны (Issuer Common Name), пожалуйста, выполните действия, описанные в пункте ниже. 

Как исправить ошибку? 

Есть два способа исправления ошибки корневого сертификата AddTrust. Первый способ – перевыпустить и заново установить ваш сертификат.

Если SSL сертификат имеет тип проверки «Домен»: в этом случае рекомендуется перевыпустить сертификат, чтобы он автоматически подписывался обновленной цепочкой. Выдача произойдет в течение 15 минут (опция Reissue в вашем личном кабинете).

Если SSL сертификат имеет тип проверки «Организация» или расширенный тип проверки: когда сертификат будет перевыпущен, вам потребуется установить его на свой сервер. Если вы хотите, чтобы мы установили новый сертификат на ваш сервер, то обратитесь к нашей службе поддержки. В случае, когда захотите выполнить установку самостоятельно, используйте руководство по установке SSL, соответствующее вашему веб-серверу. 

Второй способ – обновить цепочку сертификатов (CA-bundle) для установленного SSL-сертификата.

Чтобы обновить цепочку сертификатов, потребуется скачать ее новую версию и установить на ваш сервер. Для начала проверьте название центра сертификации и тип проверки вашего сертификата. Сделать это можно перейдя по ссылке на декодер сертификата. Далее действуйте по списку:

1. Введите имя хоста и соответствующий порт;
2. Нажмите Check;
3. Прокрутите вниз до раздела Chain Information;
4. Проверьте поле Issuer Common Name и загрузите цепочку соответствующую общему имени выпускающей стороны.

RSA Bundles	Тип проверки “Домен”	Тип проверки “Организация”	Расширенный тип проверки
COMODO	Download CA-Bundle	Download CA-Bundle	Download CA-Bundle
Sectigo	Download CA-Bundle	Download CA-Bundle	Download CA-Bundle

Распакуйте скаченные файлы и переустановите сертификат с новой цепочкой на своем домене или сервере. В зависимости от веб-сервера, вам также понадобится сам сертификат для повторной установки в формате .CRT, который вы можете скачать в вашем личном кабинете, если сертификат был приобретен у нас.  

Если вам нужна помощь в установке SSL сертификата, вы всегда можете обратиться в нашу службу поддержки и мы с радостью поможем. Также на нашем сайте вы найдете большой выбор выбор SSL сертификатов для самых разных потребностей.