Bug 41038 - Unable validate Let's Encrypt certificates after expiration of the DST Root CA X3 certificate
Summary: Unable validate Let's Encrypt certificates after expiration of the DST Root C...
Status: CLOSED WONTFIX
Alias: None
Product: Branch p8
Classification: Distributions
Component: ca-certificates (show other bugs)
Version: не указана
Hardware: all Linux
: P5 major
Assignee: Andrey Cherepanov
QA Contact: qa-p8@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2021-10-01 11:25 MSK by Nikolay A. Fetisov
Modified: 2021-10-03 17:53 MSK (History)
0 users

See Also:


Attachments
ISRG Root X1 root certificate (7.00 KB, application/x-x509-ca-cert)
2021-10-01 11:25 MSK, Nikolay A. Fetisov
no flags Details

Note You need to log in before you can comment on or make changes to this bug.
Description Nikolay A. Fetisov 2021-10-01 11:25:37 MSK
Created attachment 9755 [details]
ISRG Root X1 root certificate

Для ca-certificates-2016.02.25-alt1 после вечера 30.09.2021 стала невозможной проверка валидности
сертификатов, выданных Let's Encrypt.

30.09.2021 закончился срок действия корневого сертификата DST Root CA X3, использовавшегося
в цепочке доверия сертификатов Let's Encrypt. На данный момент сертификаты Let's Encrypt
можно проверить через корневой сертификат ISRG Root X1 - который в ca-bundle.crt отсутствует.

Плюс, имеющийся в M80P libssl10-1.0.2n-alt0.M80P.1 не умеет проверять сертификаты, использующие
в подписи две разные цепочки сертификатов, и использует только первый из промежуточных сертификатов.



Соответственно, для работы с использующими сертификаты от Let's Encrypt ресурсами сейчас требуется:

- добавить в /usr/share/ca-certificates/ca-bundle.crt новый корневой сертификат ISRG Root X1
  (cat isrg_x1.pem >> /usr/share/ca-certificates/ca-bundle.crt),

- удалить старый сертификат DST Root CA X3 с истекшим сроком годности
  (sed -e '/DST Root CA X3/,/-----END CERTIFICATE-----/ d' -i /usr/share/ca-certificates/ca-bundle.crt).


(В C8 - более свежий libssl10-1.0.2p-alt0.M80C.1 и удаление старого сертификата там не требуется;
только добавление сертификата ISRG Root X1).
Comment 1 Andrey Cherepanov 2021-10-03 17:53:41 MSK
p8 не поддерживается.