Problemi con il certificato Let's Encrypt sui dispositivi meno recenti

Let's Encrypt è un'autorità di certificazione senza scopo di lucro che fornisce certificati X.509 gratuiti per la crittografia TLS tramite un processo automatizzato, progettato per sostituire l'attuale processo complesso di creazione, verifica, firma, installazione e rinnovo manuale dei certificati per i siti web sicuri.

A causa della scadenza del certificato radice DST Root CA X3, i dispositivi obsoleti che non ricevono aggiornamenti da tempo e non supportano il nuovo certificato radice ISRG Root X1 non si fidano più del vecchio certificato. Visitando siti che utilizzano certificati di Let's Encrypt, mostrano avvisi o non riescono a stabilire una connessione sicura.

Sono considerati obsoleti i dispositivi e i sistemi operativi con più di 5 anni, tra cui:

• Windows XP fino a SP3 (nonché SP3 e Windows 7, se i certificati radice non sono stati rinnovati automaticamente).
• macOS precedente alla versione 10.12.1.
• iOS fino alla versione 10.
• Android fino alla versione 2.3.6 (l'accesso ai servizi potrebbe comunque essere possibile a causa delle particolarità della verifica dei certificati radice; le versioni fino a 7.1.1 non supporteranno più il certificato nel 2024).
• Ubuntu precedente alla versione 16.04.
• Debian precedente alla versione 8.
• Sony PlayStation 3 e 4 con firmware fino alla versione 5.00.
• Smart TV e dispositivi per la casa intelligente di vecchia generazione.
• Dispositivi che utilizzano OpenSSL versione 1.0.x.

La soluzione migliore consiste nell'aggiornare il software alle versioni più recenti, che includono già il supporto per il nuovo certificato radice. Conviene intervenire solo se necessario — ad esempio, se una parte significativa degli utenti del servizio utilizza software obsoleto ed è critica per il progetto.

Dal lato client, puoi:

• Installare manualmente il certificato radice ISRG Root X1, se non è presente nell'archivio del sistema o del software in uso.
• Rimuovere il certificato radice obsoleto DST Root CA X3. La presenza di un certificato radice scaduto può interferire con il normale funzionamento dei servizi che utilizzano certificati Let's Encrypt.

Attenzione! Non è possibile risolvere il problema in questo modo su tutti i dispositivi.

Windows 7

In Windows 7, la catena dei certificati radice avrebbe dovuto aggiornarsi automaticamente se gli aggiornamenti del sistema operativo sono abilitati. In caso contrario, il certificato radice deve essere installato manualmente seguendo questi passaggi:

Scarica il certificato radice ISRG Root X1 dal sito di Let's Encrypt nel formato der. Avvia il file scaricato e autorizzane l'apertura facendo clic su Apri. Nella finestra che appare, fai clic su Installa certificato:

Seleziona per chi installare il certificato e fai clic su Avanti. Seleziona la voce Metti tutti i certificati nel seguente archivio e fai clic su Sfoglia:

Seleziona l'archivio Autorità di certificazione radice attendibili e fai clic su OK:

Fai clic su Avanti, verifica la correttezza dei dati selezionati e fai clic su Fine.

Debian/Ubuntu

• Per verificare se il certificato radice è presente nell'elenco dei certificati attendibili, esegui il seguente comando nel terminale:

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "ISRG Root X1"

• Se l'output del comando mostra subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1, non sono necessarie ulteriori azioni. In caso contrario, esegui il comando seguente:

curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | sudo tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt ; sudo echo "mozilla/ISRG_Root_X1.crt" >> /etc/ca-certificates.conf ; sudo update-ca-certificates

Verifica quindi il funzionamento dei servizi per cui si sono verificati problemi di accesso.

CentOS

• Per verificare se il certificato radice è presente nell'elenco dei certificati attendibili, esegui il seguente comando nel terminale:

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"

• Se l'output del comando mostra subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1, non sono necessarie ulteriori azioni. In caso contrario, esegui il comando seguente:

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
sudo update-ca-trust

Verifica quindi il funzionamento dei servizi per cui si sono verificati problemi di accesso.

OpenSSL 1.0.x

• Se il sistema utilizza una versione obsoleta di OpenSSL, è necessario rimuovere il certificato radice scaduto dall'elenco dei certificati attendibili nel modo seguente: Per Debian/Ubuntu, modifica il file /etc/ca-certificates.conf aggiungendo il carattere ! all'inizio della riga mozilla/DST_Root_CA_X3.crt ed esegui il comando:

update-ca-certificates

Lato server

Dal lato server, le possibilità di intervento sono limitate. Se utilizzi certificati Let's Encrypt sul tuo server, tieni presente che dopo il 30 set. 2021 alle 14:01:15 GMT potranno connettersi al tuo server senza problemi solo i client che si fidano di ISRG Root X1 e che utilizzano Android >= v2.3.6. Inoltre, i client che usano OpenSSL devono disporre della versione OpenSSL >= 1.1.0.

Detto questo, hai una scelta: rinunciando al supporto delle versioni Android più vecchie (mantenendo il supporto per Android >= 7.1.1), puoi conservare la compatibilità con OpenSSL 1.0.x senza alcuna modifica lato client.

Per farlo, devi utilizzare la catena di fiducia alternativa proposta da Let's Encrypt per i tuoi certificati. Questa catena esclude DST Root CA X3 e si presenta così:

ISRG Root X1 → Let's Encrypt R3 → End User Certificate

Per passare alla catena alternativa, consulta la documentazione del tuo client ACME.

---

Per ulteriori domande, puoi contattare il nostro team di supporto in qualsiasi momento tramite il sistema di ticket.