Ngày 30/9/2021, hàng loạt các website không thể truy cập do chứng chỉ gốc DST Root CA X3 của Let’s Encrypt bị hết hạn và phải thay bằng chứng chỉ mới
Lỗi truy cập website do chứng chỉ DST Root CA X3 của Let’s Encrypt hết hạn
Ngày 30/9/2021 chứng chỉ gốc DST Root CA X3 của Let’s Encrypt hết hạn khiến cho người dùng không thể truy cập truy cập các website được cấu hình bảo mật SSL Let’s Encrypt với giao thức https và xuất hiện thông báo lỗi. Nếu bạn cố gắng đồng ý truy cập thì website vẫn có thể truy cập nhưng bạn sẽ phải truy cập ở giao thức không có bảo mật điều này sẽ ảnh hưởng đến người dùng truy cập website thiếu an toàn. Nguyên nhân do SSL của Let’s Encrypt cung cấp chứng chỉ gốc DST Root CA X3 cho người dùng có nhu cầu sử dụng miễn phí nhưng đã bị hết hạn và thay thế áp dụng bằng chứng chỉ mới ISRG Root X1. Đây là nguyên nhân dẫn đến các trang web sử dụng SSL miễn phí lỗi, các thiết bị cũ trên trình duyệt Chrome và các thiết bị smartphone sử dụng hệ điều hành truy cập cũng bị lỗi.
Bạn không cần lo lắng vì hầu hết các truy cập website sẽ tự động chấp nhận ISRG Root X1 và vẫn sẽ truy cập bình thường, tuy nhiên sẽ có một số trường hợp khi truy cập sẽ sẽ gặp phải lỗi liên quan đến kết nối bảo mật như dưới đây:
Hướng dẫn xử lý DST Root CA X3 hết hạn và LetsEncrypt:
Đối với người dùng sử dụng trình duyệt Firefox
Nếu bạn sử dụng trình duyệt Firefox bạn chỉ cập nhật trình duyệt và sẽ có thể truy cập lại. Nguyên nhân là các trình duyệt (Chrome, Safari, Edge, Opera) thường tin tưởng các root certificates như hệ điều hành mà chúng đang chạy. Firefox là ngoại lệ: nó có kho lưu trữ root certificates của riêng mình.
Cách xử lý lỗi DST Root CA X3 đối với các trình duyệt khác
Cách 1:
Cập nhật hệ đều hành đang sử dụng lên bản mới nhất, chi tiết các trình duyệt và hệ điều hành hỗ trợ ISRG Root X như sau:
“Yếu tố quyết định chính cho việc một nền tảng có thể xác thực chứng chỉ Let’s Encrypt hay không là liệu nền tảng đó có tin cậy chứng chỉ “ISRG Root X1” của ISRG hay không.
Từ tháng 10 năm 2021 trở đi, chỉ những nền tảng tin cậy ISRG Root X1 mới xác thực chứng chỉ Let’s Encrypt (ngoại trừ Android). Nếu chứng chỉ của bạn xác thực trên một số nền tảng “Tương thích đã biết” nhưng không xác thực trên một số nền tảng khác, thì vấn đề có thể là do cấu hình sai máy chủ web. Nếu bạn đang gặp sự cố với các nền tảng hiện đại, thì nguyên nhân phổ biến nhất là do không cung cấp đúng chuỗi chứng chỉ. Kiểm tra trang web của bạn bằng Kiểm tra SSL máy chủ”.
Đối với người dùng sử dụng Windows: Bạn có thể truy cập trên trình duyệt đến địa chỉ sau: https://valid-isrgrootx1.letsencrypt.org/ sẽ nhắc Windows tự động đưa ISRG Root X1 vào root CA của nó.
Đối với macOS, iOS, v.v..: Chúng giữ lại CA đã hết hạn nên bạn có thể thử reset các thiết bị sau đó thử truy cập lại.
Cách 2: Tải trực tiếp 2 file chứng thực và import trên trình duyệt Chrome
Tải về 2 chứng thực
ISRG_Root_X1.cer
ISRG_Root_X1_ICA.cer
Theo link sau:
Bạn mở trình duyệt chrome copy đường dẫn này => chrome://settings/security dán vào thanh địa chỉ rồi nhấn Enter
Import file ISRG_Root_X1_ICA.cer
“Trusted Root Certification Authorities” như hình dưới:
Tiếp theo Import file ISRG_Root_X1.cer như hình dưới:
Cách 3:
Nếu như vì một số lý do liên quan hệ thống và bảo mật bạn không thể update các thiết bị lên phiên bản mới nhất. Bạn có thể đăng ký sử sụng SSL có phí không phải là letsenscrypt để khắc phục hoàn toàn lỗi này. Bạn có thể đăng ký SSL có phí và gửi yêu cầu hỗ trợ để kỹ thuật hỗ trợ cài đặt một cách nhanh chóng tương thích cho hầu hết thiết bị.
Chuyển Động Số cung cấp dịch vụ SSL có tính phí sẽ giúp bạn giải quyết triệt để vấn đề này, liên hệ với bộ phận kỹ thuật Website để được trợ giúp
Theo Tạp chí Điện tử