Что делать если сайт не открывается "Подключение не защищено" — "Проблема 30 сентября"

Код машин 1 окт. 2021 г.

Множество различных электронных устройств 30 сентября 2021 14:01:15 GMT или в 17:01:15 московского времени утратило возможность подключения ко многим сайтам из-за истекающего срока службы цифрового корневого сертификата IdenTrust DST Root CA X3, который использовался для подписи сертификатов, выданных центром Let's Encrypt. Проблема коснулась миллионов устройств по всему миру.

При попытке соединения с сервером по шифрованным протоколам SSL/TLS может возникать ошибка:

SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

Или другая аналогичная, сообщающая о невозможности установки защищённого соединения. Причина заключается в истечение сегодня срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра (УЦ) Let's Encrypt. Этим УЦ выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имён), используемых в сети на веб-сайтах, почтовых серверах и других сервисах. Так как срок действия сертификата действителен не позднее 30 сентября 2021 14:01:15 GMT, после этой даты устройства и программы более не могут доверять ему и соединения не будут устанавливаться.

Что делать?

Установить браузер Firefox

На некоторых устройствах Android могут возникать проблемы, поэтому Let's Encrypt рекомендует пользователям Android (Lollipop) 5.0 установить браузер Firefox: «Для встроенного браузера телефона Android список доверенных корневых сертификатов поступает из операционной системы, которая на этих старых телефонах устарела. Однако Firefox в настоящее время является уникальным среди браузеров - он поставляется со своим собственным списком доверенных корневых сертификатов».

Удалить настройки HSTS для Яндекс браузера, Edge, Opera, Амиго

Большинство браузеров построены на движке Chromium, среди них можно выделить:

Microsoft Edge
Яндекс браузер
Opera
Амиго

Так как у них движок такой же .как и у Google Chrome, то к ним будет применен и актуален такой же метод, что мы делали выше, а именно через удаление домена на специальной странице:

chrome://net-internals/#hsts

Перезапустить браузер

Как очистить или отключить HSTS в Firefox

По сравнению с Chrome, Firefox имеет несколько способов очистки или отключения настроек. Для начала автоматический метод.

Автоматический метод отключения HSTS в Mozilla

Откройте Firefox и убедитесь, что все открытые вкладки или всплывающие окна закрыты.
Нажмите Ctrl + Shift + H (или Cmd + Shift + H на Mac), чтобы открыть меню библиотеки .
Найдите сайт, для которого вы хотите удалить настройки HSTS. Вы можете упростить для себя, используя панель поиска в верхнем правом углу.
Как только вам удастся найти веб-сайт, для которого вы пытаетесь очистить настройки HSTS, щелкните по нему правой кнопкой мыши и выберите Забыть об этом сайте . Это очистит настройки HSTS и другие кэшированные данные для этого конкретного домена.
Перезапустите Firefox и посмотрите, была ли проблема решена. Если это была проблема HSTS, то теперь вы сможете нормально просматривать веб-сайт и Firefox не будет производить принудительный переброс http на https.

Ручной метод для Firefox

Данный метод можно еще назвать методом очистки HSTS путем очистки настроек сайта.

Откройте Firefox, нажмите на значок "Библиотека" и выберите "Журнал"
Далее выберите пункт "Удалить историю"
В окне "Удаление всей истории" установите в раскрывающемся меню "Диапазон времени" значение "Все". Затем разверните меню "Данные" и снимите все флажки, кроме "Настройки сайта" и нажмите "Удалить сейчас", чтобы очистить все настройки сайта, включая настройки HSTS . Далее перезагрузите Firefox и посмотрите, была ли проблема решена при следующем запуске.

Windows 7

Первый вариант, скачать файл сертификата, после скачивания запустить его (двойной щелчок мыши) и нажать "Установить".

Второй вариант, в Windows установить корневой сертификат ISRG Root X1 можно запустив оснастку "Сертификаты" командой:

mmc /i

и импортировав в корневые сертификаты учётной записи компьютера файл сертификата.

iOS (iPhone и iPad с ОС до 10 версии)

Скачайте файл сертификата ISRG Root X1 на устройство.
Перейдите в «Настройки» -> «Основные» -> «Профили и управление устройством» выберите сертификат ISRG Root X1 и нажмите «Установить».
В Настройки» -> «Основные» -> «Доверие сертификатов» включите «Доверять корневым сертификатам полностью».

Android

Устройства с версиями ОС Android до 7.1.1 также не поддерживают корневой сертификат ISRG Root X1. Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

Для решения проблемы Let's Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако, устройства и операционные системы, не получающие обновления цепочки сертификатов, могут не иметь его в списке доверенных и столкнутся с ошибками SSL соединения. Список такого ПО и операционных систем:

Android до версии 7.1.1;
Mozilla Firefox до 50.0;
MacOS 10.12.0 и старше;
Windows XP (с Service Pack 3);
iOS-устройств до версии iOS 10;
OpenSSL 1.0.2 и ниже;
Ubuntu до версий 16.04;
Debian 8 и старше.

Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.

Подписывайтесь на новости Цифровой фабрики в Telegram:
Журнал Цифровая фабрика — всё об использовании новых технологий в жизни, культуре и продажах

Обложка: Midjourney

Запрещаем принудительный переброс http на https в Chrome, Mozilla, Edge, Explorer | Настройка серверов windows и linux

запрещать вашему браузеру принудительно перенаправлять сайт с http на https из-за чего сайт будет недоступен и вы получите ошибку ERR_CONNECTION_REFUSED