- Почему устройства на android не обновляются?
- Android
- Windows
- Владельцы сайтов на acme
- Добавляем isrg root x1 в список доверенных сертификатов на android 6.0
- Обновление ssl сертификата let’s encrypt в zimbra 8
- Пользователи старых версий android
- Предложить использовать firefox mobile
- Предложить посетителям обновить android
- Прекратить поддержку более старых версий
- Решение проблемы: два сертификата вместо одного
- Срок действия корневого сертификата let’s encrypt истек. миллионы устройств останутся без интернета
Почему устройства на android не обновляются?
Производители и операторы мобильной связи обычно подгоняют ОС под свои нужды перед тем, как устанавливать ее на девайсы и отдавать конечным пользователям. Когда Google выпускает новое обновление Android, производителям и операторам нужно сначала внести изменения в свои собственные версии ПО, а уже потом обновить своих клиентов.
Вдобавок производители постоянно выпускают новые устройства, которые нужно продавать, а поэтому на устаревших моделях обновления ОС часто просто не работают. Вот почему в настоящее время есть миллионы устройств Android с устаревшими операционными системами.
Android
Устройства с версиями ОС Android до 7.1.1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
Windows
В Windows установить корневой сертификат ISRG Root X1 можно запустив оснастку “Сертификаты” командой:
mmc /i
и импортировав в корневые сертификаты учётной записи компьютера файл сертификата.
Владельцы сайтов на acme
Владельцы сайтов, использующие ACME, могут изменить настройки своих клиентов, чтобы продолжать использовать сертификаты Let’s Encrypt с перекрестной подписью. Однако это будет работать только до сентября 2021 года. Тем не менее, это поможет выиграть время, чтобы разработать долгосрочное решение.
Наиболее практичным решением, не требующим каких-либо действий со стороны пользователя, является переключение на центр сертификации с повсеместными корнями, которым доверяют все основные платформы (включая старые системы). Сертификаты от доверенных и авторитетных органов власти используют свои собственные доверенные корни в течение многих лет и перекрестно подписывают с использованием своих старых корней для обеспечения полной совместимости.
Добавляем isrg root x1 в список доверенных сертификатов на android 6.0
Первым делом нужно установить на телефон PIN-код или графический код. Android 6.0.1 позволяет устанавливать собственные сертификаты только с блокировкой экрана. При отключении PIN-кода или графического кода персональные сертификаты будут удалены (не проверял). В любом случае, при попытке добавить сертификат вас попросят включить блокировку экрана.
Идём в Настройки → Экран блокировки и защита → Тип блокировки экрана. Здесь устанавливаем PIN-код или другой способ блокировки.
Идём в Настройки → Экран блокировки и защита → Другие параметры безопасности.
Мотаем вниз и видим нужные нам пункты:
- Сертификаты безопасности
- Сертификаты пользователя
- Установить из памяти
- Удалить учётные данные
Нажимаем Сертификаты безопасности, находим протухший сертификат Digital Signature Trust Co. (DST Root CA X3) и отключаем его, чтобы телефон не пытался использовать эту цепочку.
Скачиваем сертификат ISRG Root X1 и Let’s Encrypt R3 в формате PEM. Я буду ставить оба сертификата.
Обновление ssl сертификата let’s encrypt в zimbra 8
Как многие знают, вчера закончился сертификат Let’s Encrypt DST Root CA X3, использовавшийся, в том числе и для почтовых серверов Zimbra.
Я прождал до последнего и столкнулся с несколькими проблемами после его истечения, например перестала отправляться почта из системы обработки заявок OTRS и почтового клиента Spark. После некоторой возни было найдено решение по обновлению сертификата с новым корневым CA.
Моя конфигурация – Centos 7.9 и Zimbra 8.8.11
Устанавливаем новый certbot
sudo yum install epel-release
sudo yum install snapd
sudo systemctl enable --now snapd.socket
sudo snap install core
sudo rebootПосле перезагрузки Zimbra отказалась запускаться, сославшись на некорректный сертификат, но на всякий случай, я приведу команды в таком порядке, как будто она работает.
Если вы впервые получаете сертификат, замените 3 строку на это:
certbot certonly --standalone --preferred-chain "ISRG Root X1"mail.example.com в 6 строке необходимо заменить на доменное имя вашего почтового сервера
letsencryptCA в 7 строке – файл, содержащий новый корневой сертификат. Вы должны создать его сами и скопировать туда этот текст:
-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQONZRGPgu2OCiwAwDQYJKoZIhvcNAQELBQAw
TzELMAkGA1UEBhMCVVMxKTAnBgNVBAoTIEludGVybmV0IFNlY3VyaXR5IFJlc2Vh
cmNoIEdyb3VwMRUwEwYDVQQDEwxJU1JHIFJvb3QgWDEwHhcNMTUwNjA0MTEwNDM4
WhcNMzUwNjA0MTEwNDM4WjBPMQswCQYDVQQGEwJVUzEpMCcGA1UEChMgSW50ZXJu
ZXQgU2VjdXJpdHkgUmVzZWFyY2ggR3JvdXAxFTATBgNVBAMTDElTUkcgUm9vdCBY
MTCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIBAK3oJHP0FDfzm54rVygc
h77ct984kIxuPOZXoHj3dcKi/vVqbvYATyjb3miGbESTtrFj/RQSa78f0uoxmyF
0TM8ukj13Xnfs7j/EvEhmkvBioZxaUpmZmyPfjxwv60pIgbz5MDmgK7iS4 3mX6U
A5/TR5d8mUgjU g4rk8Kb4Mu0UlXjIB0ttov0DiNewNwIRt18jA8 o u3dpjq sW
T8KOEUt zwvo/7V3LvSye0rgTBIlDHCNAymg4VMk7BPZ7hm/ELNKjD Jo2FR3qyH
B5T0Y3HsLuJvW5iB4YlcNHlsdu87kGJ55tukmi8mxdAQ4Q7e2RCOFvu396j3x UC
B5iPNgiV5 I3lg02dZ77DnKxHZu8A/lJBdiB3QW0KtZB6awBdpUKD9jf1b0SHzUv
KBds0pjBqAlkd25HN7rOrFleaJ1/ctaJxQZBKT5ZPt0m9STJEadao0xAH0ahmbWn
OlFuhjuefXKnEgV4We0 UXgVCwOPjdAvBbI e0ocS3MFEvzG6uBQE3xDk3SzynTn
jh8BCNAw1FtxNrQHusEwMFxIt4I7mKZ9YIqioymCzLq9gwQbooMDQaHWBfEbwrbw
qHyGO0aoSCqI3Haadr8faqU9GY/rOPNk3sgrDQoo//fb4hVC1CLQJ13hef4Y53CI
rU7m2Ys6xt0nUW7/vGT1M0NPAgMBAAGjQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNV
HRMBAf8EBTADAQH/MB0GA1UdDgQWBBR5tFnme7bl5AFzgAiIyBpY9umbbjANBgkq
hkiG9w0BAQsFAAOCAgEAVR9YqbyyqFDQDLHYGmkgJykIrGF1XIpu ILlaS/V9lZL
ubhzEFnTIZd 50xx 7LSYK05qAvqFyFWhfFQDlnrzuBZ6brJFe GnY EgPbk6ZGQ
3BebYhtF8GaV0nxvwuo77x/Py9auJ/GpsMiu/X1 mvoiBOv/2X/qkSsisRcOj/KK
NFtY2PwByVS5uCbMiogziUwthDyC3 6WVwW6LLv3xLfHTjuCvjHIInNzktHCgKQ5
ORAzI4JMPJ GslWYHb4phowim57iaztXOoJwTdwJx4nLCgdNbOhdjsnvzqvHu7Ur
TkXWStAmzOVyyghqpZXjFaH3pO3JLF l / sKAIuvtd7u Nxe5AW0wdeRlN8NwdC
jNPElpzVmbUq4JUagEiuTDkHzsxHpFKVK7q4 63SM1N95R1NbdWhscdCb ZAJzVc
oyi3B43njTOQ5yOf 1CceWxG1bQVs5ZufpsMljq4Ui0/1lvh wjChP4kqKOJ2qxq
4RgqsahDYVvTH9w7jXbyLeiNdd8XM2w9U/t7y0Ff/9yi0GE44Za4rF2LN9d11TPA
mRGunUHBcnWEvgJBQl9nJEiU0Zsnvgc/ubhPgXRR4Xq37Z0j4r7g1SgEEzwxA57d
emyPxgcYxn/eR44/KJ4EBs lVDR3veyJm kXQ99b21/ jh5Xos1AnX5iItreGCc=
-----END CERTIFICATE-----Обратите внимание, что корневой сертификат, в результате команды в 7 строке, добавляется именно в конец полученного вами файла chain.pem
Все команды в этой части выполняются от имени пользователя root:
su - zimbra -c "/opt/zimbra/bin/zmproxyctl stop"
su - zimbra -c "/opt/zimbra/bin/zmmailboxdctl stop"
certbot renew --standalone --force-renewal --preferred-chain "ISRG Root X1"
rm -f /opt/zimbra/ssl/letsencrypt/*
rm -f /opt/zimbra/ssl/zimbra/commercial/commercial.key
cp /etc/letsencrypt/live/mail.example.com/* /opt/zimbra/ssl/letsencrypt/
cat letsencryptCA >> /opt/zimbra/ssl/letsencrypt/chain.pem
cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.key
cd /opt/zimbra/ssl/letsencrypt
su zimbraВ этот момент мы переключаемся на пользователя zimbra и выполняем следующее:
zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
zmcertmgr deploycrt comm cert.pem chain.pem
zmcontrol restartЕсли всё пройдет без ошибок, то вы получите свежий сертификат и работающую почтовую систему.
Источники информации:
Пользователи старых версий android
Проблема затрагивает только устройства на старых платформах, что, казалось бы, не так страшно, но, к сожалению, их до сих пор использует большое количество людей.
Стоит уточнить, что основная проблема появилась не по вине Let’s Encrypt, а в медленном обновлении ПО для многих платформ.
Предложить использовать firefox mobile
Firefox Mobile полагается на собственный (регулярно обновляемый) список корневых сертификатов, а не на список операционных систем. Но заставить пользователя перейти на другой браузер, пожалуй, сложнее, чем заставить его обновиться.
Предложить посетителям обновить android
Как вариант можно предупредить посетителей со старыми версиями Android о том, что нужно обновить их перед использованием вашего сайта, но:
Прекратить поддержку более старых версий
Можно прекратить поддержку более старых версий, но это может привести к:
Решение проблемы: два сертификата вместо одного
IdenTrust согласился выпустить трехлетний перекрестный знак для ISRG X1. Новый перекрестный знак немного необычный, так как действует после истечения срока действия DST Root CA X3. Это решение работает, потому что Android намеренно не устанавливает даты истечения срока действия сертификатов, используемых в качестве якорей доверия.
Ранее запланированное на 11 января переключение цепочки не состоялось, а переход на новую цепочку будет произведен в начале февраля. Тем не менее, во избежание возможных проблем совместимостью можно использовать следующие рекомендации:
Срок действия корневого сертификата let’s encrypt истек. миллионы устройств останутся без интернета
У одного из крупнейших поставщиков сертификатов HTTPS, Let’s Encrypt, 30 сентября истек срок действия корневого сертификата IdentTrust DST Root CA X3. Некоторые старые устройства могут столкнуться с проблемами в работе.
Let’s Encrypt выдает сертификаты, которые шифруют соединения между пользовательскими устройствами и Интернетом, гарантируя, что никто не сможет перехватить данные. На Let’s Encrypt полагаются миллионы сайтов.
Исследователь безопасности Скотт Хелми предупредил, что по истечении срока действия IdentTrust DST Root CA X3 некоторые старые устройства могут столкнуться с проблемами, как и в случае, когда в мае истек срок действия AddTrust External CA Root.
Истечение срока действия сертификата может повлиять на устройства, которые не обновляются регулярно, например встроенные системы, не предназначенные для автоматического обновления, или смартфоны с устаревшими версиями программного обеспечения. Пользователи более старых версий macOS и Windows XP (с пакетом обновления 3) могут столкнуться с проблемами вместе с клиентами, зависящими от OpenSSL 1.0.2 или более ранней версии, а также более старыми PlayStation, которые не были обновлены до новой прошивки.
У Android существует проблема с обновлениями ОС, но в Let’s Encrypt нашли обходной путь, который может предотвратить проблемы с большинством смартфонов. В этом году организация перешла на собственный сертификат ISRG Root X1, срок действия истекает в 2035 году. Хотя многие устройства Android до сих пор не доверяют этому сертификату, а именно версии Android (Nougat) 7.1.1 и более ранние, Let’s Encrypt получил сертификат перекрестной подписи. Таким образом, большинство устройств Android должны исправно работать еще в течение трех лет.
На некоторых устройствах Android могут возникать проблемы, поэтому Let’s Encrypt рекомендует пользователям Android (Lollipop) 5.0 установить браузер Firefox: «Для встроенного браузера телефона Android список доверенных корневых сертификатов поступает из операционной системы, которая на этих старых телефонах устарела. Однако Firefox в настоящее время является уникальным среди браузеров – он поставляется со своим собственным списком доверенных корневых сертификатов».
Технический директор хостинг-провайдера и регистратора доменов REG.RU Александр Хакимов отмечает, что сложности с выходом в Сеть могут возникнуть у пользователей смартфонов iPhone и планшетов iPad, которые невозможно обновить до iOS 10, а также у обладателей ноутбуков MacBook с macOS 10.12.0 и более старых версий ОС. Проблемными могут оказаться смартфоны на ОС Android 2.3.6 и предыдущих версиях ОС, а также компьютеры с Windows XP Service Pack 2.