Завершення терміну дії AddTrust сертифіката від Sectigo

Центр сертифікації Sectigo (колишній центр сертифікації Comodo) оголосив, що термін дії кореневого (root) сертифіката AddTrust, що використовується для перехресного підпису, закінчився 30 травня 2020 року.

Що робити в разі, якщо ви використовували сертифікат AddTrust від Sectigo? Якщо кореневий сертифікат застосовувався на веб-сайті і доступ до нього відбувався тільки за допомогою браузерів, то ніяких дій не буде потрібно: сучасні браузери виконують автоматичне перемикання на новий корінь SHA-2 root (COMODO або USERTrust). У разі, якщо доступ до AddTrust відбувався за допомогою застарілих браузерів або з інших пристроїв, або додатків, крім браузерів, тоді можуть виникнути проблеми із з’єднанням.

Чому виникає помилка? 

Під час підключення, TLS-сервер відправляє клієнту сертифікат. Браузер вибудовує ланцюжок сертифікатів – від сертифіката на сервері до кореневого сертифіката – для цього сервер відправляє кілька проміжних сертифікатів, включаючи свій власний.

Сучасні браузери можуть побудувати цей ланцюжок самостійно, проте застарілі браузери та клієнти, які все ще використовують OpenSSL 1.0.x або GnuTLS, побачать повідомлення про небезпечне з’єднання.

Як перевірити мій сертифікат? 

Для початку потрібно перевірити, чи використовує ваш сайт прострочений кореневий сертифікат ланцюжка:

  1. Перейдіть по посиланню на декодер сертифіката (https://decoder.link/);
  2. Введіть ім’я хоста вашого сайту і відповідний порт;
  3. Натисніть Check;
  4. Прокрутіть вниз до розділу Certificate # 3
  5. Якщо ви бачите AddTrust External CA Root в якості загального імені  сторону яка випускає (Issuer Common Name), будь ласка, виконайте дії, описані в пункті нижче.


Як виправити помилку? 

Є два способи виправлення помилки кореневого сертифіката AddTrust.

Перший спосіб – перевипустити і заново встановити ваш сертифікат:

Якщо SSL сертифікат має тип перевірки «Домен»: в цьому випадку рекомендується перевипустити сертифікат, щоб він автоматично підписувався оновленим ланцюжком. Видача відбудеться протягом 15 хвилин (опція Reissue в вашому особистому кабінеті).

Якщо SSL сертифікат має тип перевірки «Організація» або розширений тип перевірки: коли сертифікат буде перевипущено, вам буде потрібно встановити його на свій сервер. Якщо ви хочете, щоб ми встановили новий сертифікат на ваш сервер, то зверніться до нашої служби підтримки; якщо ви хочете встановити систему самостійно, тоді використовуйте інструкцію по установці SSL, яке підходить до вашого веб-сервера. 

Другий спосіб – оновити ланцюжок сертифікатів (CA-bundle) для встановленого SSL-сертифіката: 

Щоб оновити ланцюжок сертифікатів, буде потрібно завантажити її нову версію і встановити на ваш сервер. Для початку перевірте назву центру сертифікації і тип перевірки вашого сертифіката – для цього перейдіть на декодер сертифіката (https://decoder.link/

  1. Введіть ім’я хоста і відповідний порт;
  2. Натисніть Check;
  3. Прокрутіть вниз до розділу Chain Information;
  4. Перевірте поле Issuer Common Name і завантажте ланцюжок, який відповідає загальному імені сторони, що його випускає.
RSA BundlesТип перевірки “Домен”Тип перевірки “Організація”Розширений тип перевірки
COMODODownload CA-BundleDownload CA-BundleDownload CA-Bundle
SectigoDownload CA-BundleDownload CA-BundleDownload CA-Bundle

Розпакуйте скачані файли і повторно сертифікат з новим ланцюжком на своєму домені або сервері. Якщо ви хочете, щоб ми встановили новий сертифікат на ваш сервер, то зверніться до нашої служби підтримки.

Залежно від веб-сервера, вам також знадобиться сам сертифікат для повторної установки в форматі .CRT, який ви можете завантажити в вашому особистому кабінеті, якщо сертифікат був придбаний у нас.  

Якщо у вас виникли проблеми з установкою, будь ласка, зверніться до нашої служби техпідтримки: support@hostpro.ua