Let's Encrypt Sẽ Ngừng Chứng Chỉ DST Root CA X3 Từ 01/10

Mục lục [Ẩn]

• Ảnh hưởng từ việc chứng chỉ DST Root CA X3 hết hạn
• Cụ thể là các thiết bị chịu ảnh hưởng gồm:
• Vậy điều bạn nên làm hiện tại là gì?
• Cách khắc phục lỗi DST Root CA X3 hết hạn
  • Cách 1: Cập nhật RootCA
  • Cách 2:  Cập nhật thiết bị của người dùng
  • Cách 3:  Mua chứng chỉ thương mại trả phí và cài đặt lên trên hệ thống (KHUYẾN CÁO)

Let’s Encrypt là nhà cung cấp chứng chỉ SSL miễn phí phi lợi nhuận. Tổ chức này cung cấp cho những người quản trị website một chứng nhận SSL hoặc TLS để kích hoạt giao thức HTTPS. Chứng nhận này giúp việc truy cập web an toàn và riêng tư hơn. Tuy nhiên, mới đây Let’s Encrypt đã thông báo chứng chỉ gốc DST Root CA X3 đã chính thức hết hạn vào ngày 1/10/2021.

Ảnh hưởng từ việc chứng chỉ DST Root CA X3 hết hạn

Chứng chỉ DST Root CA X3 là tiêu chuẩn mã hóa kết nối giữa thiết bị của người dùng với internet. Đảm bảo dữ liệu khi truyền đi không bị ai chặn và đánh cắp.

Khi DST Root CA X3 các trang web đang dùng chứng chỉ này phải thay bằng chứng chỉ mới được áp dụng là ISRG Root X1. 

Điều này đồng nghĩa với việc khi người dùng truy cập một địa chỉ web, họ sẽ không còn được bảo mật bởi chứng chỉ DST Root CA X3 nữa. Việc này ảnh hưởng trực tiếp đến những người dùng thiết bị điện tử đời cũ để truy cập internet.

Những thiết bị cũ hơn không tin tưởng ISRG Root X1 sẽ bắt đầu nhận được cảnh báo về chứng chỉ khi truy cập các trang web sử dụng chứng chỉ Let’s Encrypt. Có một ngoại lệ quan trọng: các thiết bị Android cũ hơn không tin tưởng ISRG Root X1 sẽ tiếp tục hoạt động với Let’s Encrypt, nhờ dấu chéo đặc biệt từ DST Root CA X3 kéo dài quá thời hạn của root đó. Ngoại lệ này chỉ hoạt động cho Android.

Cụ thể là các thiết bị chịu ảnh hưởng gồm:

- Các trang web sử dụng chứng chỉ SSL miễn phí

- Máy tính dùng hệ điều hành MacOS 2016 hoặc Windows XP trở xuống

- Các phần mềm dùng Openssl 1.0.2 trở xuống

- Playstation 4 chưa được nâng cấp firmware

- Các mẫu Iphone có hệ điều hành IOS 10 trở xuống. Ví dụ Iphone 4S, Ipad 3. IPad mini, Ipod Touch Gen 5

- Các dòng điện thoại có hệ điều hành Android 5 trở xuống

- Hệ điều hành Ubuntu 16.4 hoặc cũ hơn

- Java version 8 - 8u141

- Java version 9 -7u151

Các thiết bị này sẽ không thể truy cập thành công vào website mà sẽ hiện dòng thông báo “Kết nối của bạn không phải là kết nối riêng tư” như dưới đây. Nguyên nhân các thiết bị này dính lỗi vì chúng chưa được hoặc không còn được cập nhật phiên bản phần mềm mới nhất.

Vậy điều bạn nên làm hiện tại là gì?

Đa số là không cần làm gì cả. Vì Let’s Encrypt đã thiết lập việc cấp chứng chỉ của mình để trang web của bạn sẽ hoạt động đúng trong hầu hết các trường hợp, ưu tiên khả năng tương thích rộng rãi. 

Nếu bạn cung cấp API hoặc phải hỗ trợ các thiết bị IoT, bạn sẽ cần đảm bảo hai điều:

- Tất cả các ứng dụng khách của API của bạn phải tin cậy ISRG Root X1 (không chỉ DST Root CA X3)

- Nếu khách hàng của API của bạn đang sử dụng OpenSSL, họ phải sử dụng phiên bản 1.1.0 trở lên. Trong OpenSSL 1.0.x, một sai sót trong xác minh chứng chỉ có nghĩa là ngay cả những ứng dụng khách tin tưởng ISRG Root X1 cũng sẽ không thành công khi được hiển thị với chuỗi chứng chỉ tương thích với Android mà chúng tôi đang đề xuất theo mặc định.

Cách khắc phục lỗi DST Root CA X3 hết hạn

Với những trường hợp gặp vấn đề từ việc Let’s Encrypt DST Root CA X3 hết hạn. Bạn sử dụng 1 trong những cách sau đây để khắc phục.

Cách 1: Cập nhật RootCA

Trong hầu hết các trường hợp, hệ thống của bạn sẽ tự động chuyển sang chuỗi đáng tin cậy tiếp theo mà chúng có thể tìm thấy.

Trong một số trường hợp, chứng chỉ bị coi là không đáng tin cậy hoặc không hợp lệ, bạn có thể thử theo các cách sau:

 + Nếu máy chủ sử dụng là windows chạy web server là IIS => Bạn có thể reset iis hoặc đơn giản hơn là thực hiện restart máy chủ

 + Nếu máy chủ sử dụng webserver không phải là IIS

=> Bạn thực hiện download RootCA tại: https://letsencrypt.org/certs/isrgrootx1.txt

=> Cập nhật RootCA mới này

Cách 2:  Cập nhật thiết bị của người dùng

- Sử dụng trình duyệt Firefox, cập nhật lên phiên bản mới nhất để sửa lỗi

- Nếu bạn đang sử dụng Windows version cũ, lời khuyên là bạn nên cập nhật win lên bản mới hoặc cài mới lại hệ điều hành Windows 10, 11 tải từ trang chủ Microsoft. Khi đó hệ thống của bạn sẽ luôn chủ động cập nhật xác thực những thay đổi về chứng chỉ bên phía website.

- Đối với macOS, iOS, v.v. : chúng giữ lại CA đã hết hạn nên bạn có thể thử reset các thiết bị sau đó thử truy cập lại.

- Cập nhật chứng chỉ ISRG Root X1 cho hệ điều hành theo cách thủ công. Tải RootCA theo isrgrootx1.der rồi cài đặt.

Cách 3:  Mua chứng chỉ thương mại trả phí và cài đặt lên trên hệ thống (KHUYẾN CÁO)

Chúng tôi khuyến cáo các bạn nên xử lý theo phương án này để vấn đề được giải quyết triệt để. Phiên bản chứng chỉ trả phí sẽ giúp chứng thực website. Tạo ra một website an toàn, có tính bảo mật cao hơn, nâng cao uy tín của website.

Nhân Hòa cung cấp cả 3 loại chứng chỉ SSL

- DV SSL (Chứng thực qua Tên Miền) giúp bảo mật các trang đăng nhập,đăng ký,thanh toán,webmail và các nhu cầu đơn giản. Phù hợp với việc hoạt động website theo tư cách cá nhân. 

- EV SSL (Extended Validation SSL) giúp bảo mật các trang web thương mại điện tử,ngân hàng điện tử,sàn chứng khoán với các giao dịch có giá trị lớn hay truy xuất các thông tin nhạy cảm. Đây là loại chứng chỉ uy tín nhất, EV SSL có thanh địa chỉ màu xanh chứa thông tin tổ chức và doanh nghiệp.

- OV SSL (Organization Validation SSL) giúp chứng thực tên miền được sở hữu bởi doanh nghiệp hay tổ chức. Nâng cao uy tín của website.

Tham khảo giá mua chứng chỉ SSL tại: https://nhanhoa.com/ssl-bao-mat/bang-gia-comodo-ssl.html

Để có giá tốt nhất cũng như hướng dẫn cài đặt dịch vụ. Vui lòng liên hệ Nhân Hòa theo địa chỉ sau.

+ Tổng đài: 1900 6680

+ Website: https://nhanhoa.com/

+ Fanpage: https://www.Facebook.com/nhanhoacom

+ Chỉ đường: https://g.page/nhanhoacom

+ Khuyến mãi Nhân Hòa: https://nhanhoa.com/khuyen-mai.html