Bug 41038

Summary: Unable validate Let's Encrypt certificates after expiration of the DST Root CA X3 certificate
Product: Branch p8 Reporter: Nikolay A. Fetisov <naf>
Component: ca-certificatesAssignee: Andrey Cherepanov <cas>
Status: CLOSED WONTFIX QA Contact: qa-p8 <qa-p8>
Severity: major    
Priority: P5    
Version: не указана   
Hardware: all   
OS: Linux   
Attachments:
Description Flags
ISRG Root X1 root certificate none

Description Nikolay A. Fetisov 2021-10-01 11:25:37 MSK 
Created attachment 9755 [details]
ISRG Root X1 root certificate

Для ca-certificates-2016.02.25-alt1 после вечера 30.09.2021 стала невозможной проверка валидности
сертификатов, выданных Let's Encrypt.

30.09.2021 закончился срок действия корневого сертификата DST Root CA X3, использовавшегося
в цепочке доверия сертификатов Let's Encrypt. На данный момент сертификаты Let's Encrypt
можно проверить через корневой сертификат ISRG Root X1 - который в ca-bundle.crt отсутствует.

Плюс, имеющийся в M80P libssl10-1.0.2n-alt0.M80P.1 не умеет проверять сертификаты, использующие
в подписи две разные цепочки сертификатов, и использует только первый из промежуточных сертификатов.



Соответственно, для работы с использующими сертификаты от Let's Encrypt ресурсами сейчас требуется:

- добавить в /usr/share/ca-certificates/ca-bundle.crt новый корневой сертификат ISRG Root X1
  (cat isrg_x1.pem >> /usr/share/ca-certificates/ca-bundle.crt),

- удалить старый сертификат DST Root CA X3 с истекшим сроком годности
  (sed -e '/DST Root CA X3/,/-----END CERTIFICATE-----/ d' -i /usr/share/ca-certificates/ca-bundle.crt).


(В C8 - более свежий libssl10-1.0.2p-alt0.M80C.1 и удаление старого сертификата там не требуется;
только добавление сертификата ISRG Root X1).
Comment 1 Andrey Cherepanov 2021-10-03 17:53:41 MSK 
p8 не поддерживается.