Ta strona jest niebezpieczna. A nie, jednak nie... czyli o certyfikatach SSL
02.10.2021 | aktual.: 04.10.2021 08:41
Dziś kolejny wpis, którego tematyka jest z życia wzięta, a mianowicie chodzi o pojawiający się ostatnio problem z certyfikatami SSL. Dla wyjaśnienia, certyfikat SSL zapewnia szyfrowanie połączenia między klientem a stroną internetową oraz potwierdza dane właściciela witryny, przez co jest ona godna zaufania.
Zasadniczo szyfrowanie ruchu oraz certyfikat są niezbędne w przypadku witryn na których podajemy jakiekolwiek dane, niekoniecznie transakcyjne, ale nawet sam adres email w formularzu kontaktowym. W przypadku zwykłych stron-wizytówek czy blogów szyfrowanie nie jest niezbędne do ich działania, a raczej nie było. Od pewnego czasu Google wymaga, aby każda strona posiadała certyfikat SSL oraz zapewniała szyfrowane połączenie przez protokół https. W innym przypadku Chrome oraz wszystkie inne przeglądarki oparte na Chromium, a więc m.in. Opera czy Vivaldi będą oznaczać takie strony bez certyfikatu jako niebezpieczne, a w skrajnych przypadkach zupełnie zablokują możliwość ich odwiedzenia.
Stąd też od kilku lat właściciele stron są zmuszeni dostosować się do wymagań monopolisty i wykupują lub generują darmowe certyfikaty SSL. Jednym z takich darmowych certyfikatów jest Let's Encrypt, z którego korzysta, według niektórych statystyk, nawet 30% stron w internecie. 30 września 2021 certyfikat DST Root CA X3 oferowany przez Let's Encrypt wygasł, co było widoczne w starszych komputerach czy smartfonach, które nie posiadały dostępnych aktualizacji. Na skutek tego wszystkie strony z wymienionym certyfikatem Let's Encrypt były oznaczane jako niebezpieczne w każdej chromopochodnej przeglądarce m.in. na systemie Windows 7 i starszych. Co ciekawe na Firefoksie wszystko działało tak jak wcześniej, natomiast na Operze czy Chromie strony były blokowane, chyba, że ustawiło się datę wcześniejszą niż 30 września.
Właśnie z takim przypadkiem zetknąłem się ostatnio. Oczywiście wiem, że Windows 7 jest niewspierany od lat, jednak wciąż jest używany w wielu miejscach i będzie pewnie tak aż do naturalnej śmierci sprzętu na którym został zainstalowany. Właśnie ze względu na brak aktualizacji w systemie operacyjnym nie ma informacji o tym, że nowe certyfikaty Let's Encrypt, które używane są na stronach po 30 września 2021 są bezpieczne i w przeglądarce mamy czerwoną kłódkę pomimo tego, że jednocześnie jest informacja, że certyfikat jest ważny. Rozwiązaniem tego problemu jest ręczna instalacja certyfikatu według instrukcji poniżej:
Najpierw musimy ręcznie usunąć 3 wygasłe certyfikaty, żeby nie powodowały problemów po instalacji nowego. Aby to zrobić wciskamy kombinację [Windows]+[R] i wpisujemy certmgr.msc następnie odnajdujemy "DST Root CA X3" i usuwamy wszystkie trzy certyfikaty z listy, które są przeterminowane.
Ręczna instalacja nowych certyfikatów polega na wejściu (najlepiej przez przeglądarkę Firefox) w poniższy link i pobraniu oraz instalacji certyfikatu. https://letsencrypt.org/certs/isrgrootx1.der. Ważna informacja, podczas instalacji należy wybrać opcje jak na poniższym screenie:
To w zasadzie wszystko, co trzeba zrobić. Niekiedy wymagane jest ponowne uruchomienie systemu, jednak z reguły po samym resecie przeglądarki certyfikaty powinny działać poprawnie i wszystkie strony używające certyfikatów Let's Encrypt będą wczytywać się poprawnie.