- Почему возникает ошибка
- Client reports certificate not issued by trusted certificate authority
- Client-side:
- Comodo positivessl
- Digi sert может предоставить такие файлы
- Impact
- Openssl-based clients reporting certificate is expired
- Positivessl
- Server-side:
- The expired certificates
- Истёк срок действия корневого сертификата addtrust external ca root | leaderssl
- Проверка своих сервисов
Почему возникает ошибка
При подключении клиента TLS-сервер отправляет ему свой сертификат. Клиент должен построить цепочку сертификатов от сертификата сервера до корневого сертификата, которому клиент доверяет. Чтобы помочь клиенту построить эту цепочку, сервер отправляет дополнительно один или несколько промежуточных сертификатов вместе со своим собственным.
Например, веб-сайт отправляет следующие два сертификата:
Client reports certificate not issued by trusted certificate authority
To address:
Client-side:
Update the OpenSSL library software version.
Edit the local CA roots trust store and remove/disable/blacklist the “AddTrust External CA Root” root certificate.
Comodo positivessl
- private.key – приватный ключ (вставлять в первое поле). Ключ вы генерируете сами вначале регистрации сертификата.
- sitename_com.crt – сертификат для вашего домена (вставлять в второе поле).
- sitename_com.ca-bundle – промежуточный сертификат (вставлять в третье поле).
Digi sert может предоставить такие файлы
- key.txt – приватный ключ (вставлять в первое поле). Ключ вы генерируете сами вначале регистрации сертификата.
- sitename_ru_2022_10_13.crt – сертификат для вашего домена (вставлять в второе поле).
- intermediate_pem_thawte_ssl123_1.crt – промежуточный сертификат (вставлять в третье поле).
- root_pem_thawte_ssl123_1.crt – корневой сертификат (вставлять в четвертое поле).
При установке SSL сертификата, содержимое каждого из файлов нужно копировать вместе с текстом:
---BEGIN CERTIFICATE----- ---END CERTIFICATE-----
то есть не нужно отдельно выбирать что копировать, а что нет. Открыли файл текстовым редактором (блокнотом) Notepad и копируете все содержимое, далее вставляете в нужное поле.
Купить SSL сертификат
Impact
Thousands of web sites / services / APIs which present certificates that were issued by the vendor may have experienced trouble negotiating incoming secure connections from their clients. Exact issues, if any, depended on a mix of server configuration, client version, and client configuration.
A client validating any of those certificates had access to 3 “paths” to do so successfully. One of those paths (A) became invalid after the above certificates expired:
Openssl-based clients reporting certificate is expired
If a server is sending a bundled chain of certificates and it includes the above NOW EXPIRED certificates from Chain Path A, AND the client is using an older OpenSSL version (<1.1.0), AND the client’s local CA roots trust store has the “AddTrust” root certificate, it will trigger a bug where the client will report an Expired error.
To address, do any/some/most of the following:
Positivessl
- private.key – приватный ключ (вставлять в первое поле). Ключ вы генерируете сами вначале регистрации сертификата.
- name_domain.crt – сертификат для вашего домена (вставлять в второе поле).
- PositiveSSLCA2.crt – промежуточный сертификат (вставлять в третье поле).
- AddTrustExternalCARoot.crt – корневой сертификат (вставлять в четвертое поле).
Server-side:
In the chain bundle you serve, include the (Type:Intermediate) certificates in path B and/or C above to encourage your clients to reach one of the two valid (Type:Root) certificates in their local CA roots trust store.
The expired certificates
The following certificates expired on May 30 10:48:38 2020 GMT:
Истёк срок действия корневого сертификата addtrust external ca root | leaderssl

30 мая 2020 года истёк срок действия корневого сертификата
AddTrust External CA Root, а также промежуточных сертификатов USERTrustRSA и
Comodo RSA CA.
Хотя Sectigo (ранее
Comodo) и утверждали, что
переход никак не скажется на клиентах, это привело к потере работоспособности
ряда систем.
Как же исправить ситуацию?
Перевыпускать сертификат не требуется,
достаточно поменять цепочку на сервере.
Если у Вас всё работает в штатном режиме, то
никаких действий не требуется!
Ниже представлены устаревшие цепочки (слева) и
замена им справа

Как определить нужную цепочку?
Откройте Ваш сертификат двойным кликом и найдите поле «Кем выдан».
- Если Вы видите «Sectigo RSA Domain Validation Secure Server
CA», то файлы актуальной цепочки можно скачать здесь
или ca-bundle (для NGINX, Apache) - Если Вы видите «Sectigo RSA Organization Validation Secure
Server CA», то файлы актуальной цепочки можно скачать здесь
или ca-bundle (для NGINX, Apache) - Если Вы видите «Sectigo RSA Extended Validation Secure Server CA»,
то файлы актуальной цепочки можно скачать здесь
или ca-bundle (для NGINX, Apache) - Если Вы видите «COMODO RSA Domain Validation Secure Server
CA», то файлы актуальной цепочки можно скачать здесь
или ca-bundle (для NGINX, Apache) - Если Вы видите «COMODO RSA Organization Validation Secure Server CA»,
то файлы актуальной цепочки можно скачать здесь
или ca-bundle (для NGINX, Apache) - Если Вы видите «COMODO RSA Extended Validation Secure Server CA»,
то файлы актуальной цепочки можно скачать здесь
или ca-bundle (для NGINX, Apache)
Проверка своих сервисов
Операторам серверных обработчиков и клиентских приложений рекомендуется проверить свою цепочку сертификатов на наличие устаревшего корневого сертификата AddTrust.
По сути, нужно просто удалить AddTrust External CA Root из цепочки доверия.
Для серверных операторов есть сервис What’s My Chain Cert?, который выполняет такую проверку и помогает сгенерировать новую цепочку доверия со всеми необходимыми промежуточными сертификатами. В эту цепочку необязательно включать корневой сертификат, поскольку он уже есть в хранилище у всех клиентов. Кроме того, включать его в цепочку просто неэффективно из-за увеличения размера рукопожатия SSL.
