Завершення терміну дії AddTrust сертифіката від Sectigo

Що робити у разі, якщо ви використовували сертифікат AddTrust від Sectigo? Якщо кореневий сертифікат застосовувався на веб-сайті і доступ до нього відбувався тільки за допомогою браузерів, то ніяких дій не буде потрібно. Сучасні браузери виконують автоматичне перемикання на новий корінь SHA-2 root (COMODO або USERTrust). У разі, якщо доступ до AddTrust відбувався за допомогою застарілих браузерів або з інших пристроїв, або додатків, крім браузерів, тоді можуть виникнути проблеми із з’єднанням.

Чому виникає помилка? 

Під час підключення, TLS-сервер відправляє клієнту сертифікат. Браузер вибудовує ланцюжок сертифікатів – від сертифіката на сервері до кореневого сертифіката. д
Для цього сервер відправляє кілька проміжних сертифікатів, включаючи свій власний.

Сучасні браузери можуть побудувати цей ланцюжок самостійно, проте застарілі браузери та клієнти, які все ще використовують OpenSSL 1.0.x або GnuTLS, побачать повідомлення про небезпечне з’єднання.

Як перевірити мій сертифікат? 

Для початку потрібно перевірити, чи використовує ваш сайт прострочений кореневий сертифікат ланцюжка.

1. Перейдіть за посиланням на декодер сертифіката;
2. Введіть ім’я хоста вашого сайту і відповідний порт;
3. Натисніть Check;
4. Прокрутіть вниз до розділу Certificate #3;
5. Якщо ви бачите AddTrust External CA Root в якості загального імені  сторону яка випускає (Issuer Common Name), будь ласка, виконайте дії, описані в пункті нижче.

Як виправити помилку? 

Є два способи виправлення помилки кореневого сертифіката AddTrust. Перший спосіб – перевипустити і заново встановити ваш сертифікат.

Якщо SSL сертифікат має тип перевірки «Домен»: в цьому випадку рекомендується перевипустити сертифікат, щоб він автоматично підписувався оновленим ланцюжком. Видача відбудеться протягом 15 хвилин (опція Reissue в вашому особистому кабінеті).

Якщо SSL сертифікат має тип перевірки «Організація» або розширений тип перевірки: коли сертифікат буде перевипущено, вам буде потрібно встановити його на свій сервер. Якщо ви хочете, щоб ми встановили новий сертифікат на ваш сервер, то зверніться до нашої служби підтримки; якщо ви хочете встановити систему самостійно, тоді використовуйте інструкцію по установці SSL, яке підходить до вашого веб-сервера. 

Другий спосіб – оновити ланцюжок сертифікатів (CA-bundle) для встановленого SSL-сертифіката. 

Щоб оновити ланцюжок сертифікатів, буде потрібно завантажити її нову версію і встановити на ваш сервер. Для початку перевірте назву центру сертифікації і тип перевірки вашого сертифікату. Для цього перейдіть за посиланням на декодер сертифіката.

1. Введіть ім’я хоста і відповідний порт;
2. Натисніть Check;
3. Прокрутіть вниз до розділу Chain Information;
4. Перевірте поле Issuer Common Name і завантажте ланцюжок, який відповідає загальному імені сторони, що його випускає.

RSA Bundles	Тип перевірки “Домен”	Тип перевірки “Організація”	Розширений тип перевірки
COMODO	Download CA-Bundle	Download CA-Bundle	Download CA-Bundle
Sectigo	Download CA-Bundle	Download CA-Bundle	Download CA-Bundle

Розпакуйте скачані файли і перевстановіть сертифікат з новим ланцюжком на своєму домені або сервері. Залежно від веб-сервера, вам також знадобиться сам сертифікат для повторної установки в форматі .CRT, який ви можете завантажити в вашому особистому кабінеті, якщо сертифікат був придбаний у нас.  

Якщо у вас виникли проблеми з установкою, ви завжди можете звернутись до нашої служби підтримки і ми з радістю допоможемо. Також на нашому сайті ви знайдете великий вибір SSL сертифікатів для самих різних потреб.