Завершение срока действия AddTrust сертификата от Sectigo

Центр сертификации Sectigo (бывший центр сертификации Comodo) объявил, что срок действия корневого (root) сертификата AddTrust, использующийся для перекрестной подписи, истек 30 мая 2020 года. 

Что делать в случае, если вы использовали сертификат AddTrust от Sectigo? Если корневой сертификат применялся на веб-сайте и доступ к нему происходил только с помощью браузеров, то никаких действия не потребуется: современные браузеры выполняют автоматическое переключение на новый корень SHA-2 root (COMODO или USERTrust). В случае, если доступ к AddTrust происходил с помощью устаревших браузеров или из иных устройств, или приложений, кроме браузеров, тогда может возникнуть проблемы с соединением. 

Почему возникает ошибка? 

Во время подключения, TLS-сервер отправляет клиенту сертификат. Браузер выстраивает цепочку сертификатов – от сертификата на сервере до корневого сертификата – для этого сервер отправляет несколько промежуточных сертификатов, включая свой собственный. 

Современные браузеры могут построить эту цепочку самостоятельно, однако устаревшие браузеры и клиенты, которые все еще используют OpenSSL 1.0.x или GnuTLS, увидят сообщение о небезопасном соединении.

Как проверить мой сертификат? 

Для начала нужно проверить, использует ли ваш сайт просроченный корневой сертификат цепочки:

  1. Перейдите по ссылке на декодер сертификата (https://decoder.link/);
  2. Введите имя хоста вашего сайта и соответствующий порт;
  3. Нажмите Check;
  4. Прокрутите вниз до раздела Certificate # 3
  5. Если вы видите AddTrust External CA Root в качестве общего имени выпускающей стороны (Issuer Common Name), пожалуйста, выполните действия, описанные в пункте ниже. 


Как исправить ошибку? 

Есть два способа исправления ошибки корневого сертификата AddTrust. 

Первый способ – перевыпустить и заново установить ваш сертификат:

Если SSL сертификат имеет тип проверки «Домен»: в этом случае рекомендуется перевыпустить сертификат, чтобы он автоматически подписывался обновленной цепочкой. Выдача произойдет в течение 15 минут (опция Reissue в вашем личном кабинете).

Если SSL сертификат имеет тип проверки «Организация» или расширенный тип проверки: когда сертификат будет перевыпущен, вам потребуется установит его на свой сервер. Если вы хотите, чтобы мы установили новый сертификат на ваш сервер, то обратитесь к нашей службе поддержки; если вы хотите выполнить установку самостоятельно, тогда используйте руководство по установке SSL, соответствующее вашему веб-серверу. 

Второй способ – обновить цепочку сертификатов (CA-bundle) для установленного SSL-сертификата: 

Чтобы обновить цепочку сертификатов, потребуется скачать ее новую версию и установить на ваш сервер. Для начала проверьте название центра сертификации и тип проверки вашего сертификата – для этого перейдите на декодер сертификата (https://decoder.link/

  1. Введите имя хоста и соответствующий порт;
  2. Нажмите Check;
  3. Прокрутите вниз до раздела Chain Information;
  4. Проверьте поле Issuer Common Name и загрузите цепочку соответствующую общему имени выпускающей стороны;
RSA BundlesТип проверки “Домен”Тип проверки “Организация”Расширенный тип проверки
COMODODownload CA-BundleDownload CA-BundleDownload CA-Bundle
SectigoDownload CA-BundleDownload CA-BundleDownload CA-Bundle

Распакуйте скаченные файлы и переустановите сертификат с новой цепочкой на своем домене или сервере. Если вы хотите, чтобы мы установили новый сертификат на ваш сервер, то обратитесь к нашей службе поддержки

В зависимости от веб-сервера, вам также понадобится сам сертификат для повторной установки в формате .CRT, который вы можете скачать в вашем личном кабинете, если сертификат был приобретен у нас.  

Если у вас возникли проблемы с установкой, пожалуйста, обратитесь к нашей службе поддержки: support@hostpro.ua