Центр сертификации Sectigo (бывший центр сертификации Comodo) объявил, что срок действия корневого (root) сертификата AddTrust, использующийся для перекрестной подписи, истек 30 мая 2020 года.
Что делать в случае, если вы использовали сертификат AddTrust от Sectigo? Если корневой сертификат применялся на веб-сайте и доступ к нему происходил только с помощью браузеров, то никаких действия не потребуется: современные браузеры выполняют автоматическое переключение на новый корень SHA-2 root (COMODO или USERTrust). В случае, если доступ к AddTrust происходил с помощью устаревших браузеров или из иных устройств, или приложений, кроме браузеров, тогда может возникнуть проблемы с соединением.
Почему возникает ошибка?
Во время подключения, TLS-сервер отправляет клиенту сертификат. Браузер выстраивает цепочку сертификатов – от сертификата на сервере до корневого сертификата – для этого сервер отправляет несколько промежуточных сертификатов, включая свой собственный.
Современные браузеры могут построить эту цепочку самостоятельно, однако устаревшие браузеры и клиенты, которые все еще используют OpenSSL 1.0.x или GnuTLS, увидят сообщение о небезопасном соединении.
Как проверить мой сертификат?
Для начала нужно проверить, использует ли ваш сайт просроченный корневой сертификат цепочки:
- Перейдите по ссылке на декодер сертификата (https://decoder.link/);
- Введите имя хоста вашего сайта и соответствующий порт;
- Нажмите Check;
- Прокрутите вниз до раздела Certificate # 3
- Если вы видите AddTrust External CA Root в качестве общего имени выпускающей стороны (Issuer Common Name), пожалуйста, выполните действия, описанные в пункте ниже.
Как исправить ошибку?
Есть два способа исправления ошибки корневого сертификата AddTrust.
Первый способ – перевыпустить и заново установить ваш сертификат:
Если SSL сертификат имеет тип проверки «Домен»: в этом случае рекомендуется перевыпустить сертификат, чтобы он автоматически подписывался обновленной цепочкой. Выдача произойдет в течение 15 минут (опция Reissue в вашем личном кабинете).
Если SSL сертификат имеет тип проверки «Организация» или расширенный тип проверки: когда сертификат будет перевыпущен, вам потребуется установит его на свой сервер. Если вы хотите, чтобы мы установили новый сертификат на ваш сервер, то обратитесь к нашей службе поддержки; если вы хотите выполнить установку самостоятельно, тогда используйте руководство по установке SSL, соответствующее вашему веб-серверу.
Второй способ – обновить цепочку сертификатов (CA-bundle) для установленного SSL-сертификата:
Чтобы обновить цепочку сертификатов, потребуется скачать ее новую версию и установить на ваш сервер. Для начала проверьте название центра сертификации и тип проверки вашего сертификата – для этого перейдите на декодер сертификата (https://decoder.link/)
- Введите имя хоста и соответствующий порт;
- Нажмите Check;
- Прокрутите вниз до раздела Chain Information;
- Проверьте поле Issuer Common Name и загрузите цепочку соответствующую общему имени выпускающей стороны;
| RSA Bundles | Тип проверки “Домен” | Тип проверки “Организация” | Расширенный тип проверки |
| COMODO | Download CA-Bundle | Download CA-Bundle | Download CA-Bundle |
| Sectigo | Download CA-Bundle | Download CA-Bundle | Download CA-Bundle |
Распакуйте скаченные файлы и переустановите сертификат с новой цепочкой на своем домене или сервере. Если вы хотите, чтобы мы установили новый сертификат на ваш сервер, то обратитесь к нашей службе поддержки
В зависимости от веб-сервера, вам также понадобится сам сертификат для повторной установки в формате .CRT, который вы можете скачать в вашем личном кабинете, если сертификат был приобретен у нас.
Если у вас возникли проблемы с установкой, пожалуйста, обратитесь к нашей службе поддержки: support@hostpro.ua.