#41038 – Unable validate Let's Encrypt certificates after expiration of the DST Root CA X3 certificate

Bug 41038 - Unable validate Let's Encrypt certificates after expiration of the DST Root CA X3 certificate

Summary: Unable validate Let's Encrypt certificates after expiration of the DST Root C...

Status:	CLOSED WONTFIX

Alias:	None

Product:	Branch p8
Classification:	Distributions
Component:	ca-certificates (show other bugs)
Version:	не указана
Hardware:	all Linux

Importance:	P5 major
Assignee:	Andrey Cherepanov
QA Contact:	qa-p8@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2021-10-01 11:25 MSK by Nikolay A. Fetisov
Modified:	2021-10-03 17:53 MSK (History)
CC List:	0 users

See Also:

Attachments
ISRG Root X1 root certificate (7.00 KB, application/x-x509-ca-cert) 2021-10-01 11:25 MSK, Nikolay A. Fetisov	no flags	Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Nikolay A. Fetisov 2021-10-01 11:25:37 MSK

Created attachment 9755 [details]
ISRG Root X1 root certificate

Для ca-certificates-2016.02.25-alt1 после вечера 30.09.2021 стала невозможной проверка валидности
сертификатов, выданных Let's Encrypt.

30.09.2021 закончился срок действия корневого сертификата DST Root CA X3, использовавшегося
в цепочке доверия сертификатов Let's Encrypt. На данный момент сертификаты Let's Encrypt
можно проверить через корневой сертификат ISRG Root X1 - который в ca-bundle.crt отсутствует.

Плюс, имеющийся в M80P libssl10-1.0.2n-alt0.M80P.1 не умеет проверять сертификаты, использующие
в подписи две разные цепочки сертификатов, и использует только первый из промежуточных сертификатов.



Соответственно, для работы с использующими сертификаты от Let's Encrypt ресурсами сейчас требуется:

- добавить в /usr/share/ca-certificates/ca-bundle.crt новый корневой сертификат ISRG Root X1
  (cat isrg_x1.pem >> /usr/share/ca-certificates/ca-bundle.crt),

- удалить старый сертификат DST Root CA X3 с истекшим сроком годности
  (sed -e '/DST Root CA X3/,/-----END CERTIFICATE-----/ d' -i /usr/share/ca-certificates/ca-bundle.crt).


(В C8 - более свежий libssl10-1.0.2p-alt0.M80C.1 и удаление старого сертификата там не требуется;
только добавление сертификата ISRG Root X1).

Comment 1 Andrey Cherepanov 2021-10-03 17:53:41 MSK

p8 не поддерживается.