Hàng triệu thiết bị và trang web gặp sự cố lỗi SSL do Let's Encrypt hết hạn chứng chỉ gốc

Khi truy cập website, sẽ có thông báo lỗi "Kết nối của bạn không phải là kết nối riêng tư"

Let's Encrypt là một trong những đơn vị cấp chứng chỉ HTTPS lớn nhất thế giới. Hoạt động theo hình thức phi lợi nhuận, Let's Encrypt phát hành các chứng chỉ mã hóa kết nối giữa các thiết bị của bạn và mạng internet để đảm bảo rằng không ai có thể chặn và lấy cắp dữ liệu của bạn khi dữ liệu được truyền qua lại.

Ngày 30/9/2021, chứng chỉ gốc DST Root CA X3 của Let's Encrypt bị hết hạn và phải thay bằng chứng chỉ mới. Chứng chỉ mới được áp dụng là ISRG Root X1. Điều này đã gây ra sự cố truy cập cho hàng loạt thiết bị và trang web trên toàn cầu. Các trang web sử dụng SSL miễn phí, thiết bị cũ và thiết bị iOS bị ảnh hưởng nhiều nhất.

Việc Quản trị website cần làm khi Website trong tình trạng "lỗi kết nối riêng tư"

  1. Kiểm tra việc Auto renew của SSL Miễn phí
  2. nếu cần thiết, hãy cài lại SSL. Bạn chỉ cần lặp lại các thao tác cài SSL, SSL sẽ được update chứng chỉ mới.\

Khách hàng sử dụng thiết bị cũ, không thể truy cập Website thì làm thế nào?

Nếu Khách hàng của Bạn sử dụng thiết bị cũ, và không thể truy cập Website, Bạn có thể cài SSL có trả phí tại đây https://hostingviet.vn/ssl

Chi tiết về lỗi chứng chỉ gốc Let's Encrypt (IdenTrust DST Root CA X3, ISRG Root X1)

Theo các chuyê gia, vấn đề không ảnh hưởng tới phần lớn người dùng Internet trên thế giới. Tuy nhiên, vẫn có hàng triệu smartphone, laptop, PC, máy chơi game... đang dùng chuẩn cũ nên không thể vào mạng nếu không được cập nhật phần mềm mới nhất

Kết nối của bạn không phải là kết nối riêng tư

Kết nối của bạn không phải là kết nối riêng tư

Theo công bố của công ty chủ quản dịch vụ Let's Encrypt, trong hầu hết trường hợp hệ thống của bạn sẽ tự động chuyển sang chuỗi xác thực dựa trên chứng chỉ mới. Tuy nhiên, đôi khi việc chứng chỉ gốc hết hạn sẽ khiến các chứng chỉ bị coi là không đáng tin cậy hoặc không hợp lệ.

Sau khi IdenTrust DST Root CA X3 hết hạn, các thiết bị không nhận được bản cập nhật thường xuyên, cụ thể là các hệ thống nhúng không nhận được bản cập nhật tự động và smartphone có phiên bản phần mềm lỗi thời sẽ gặp sự cố. Đặc biệt, các sự cố sẽ ảnh hưởng đến người dùng phiên bản macOS 10.12.0 trở về trước, Windows XP (với Service Pack 3), thiết bị iOS 10 trở về trước, máy khách dựa trên OpenSSL 1.0.2 trở về trước, PlayStations 3 và 4 với firmware chưa cập nhật, Nintendo 3DS, Ubuntu 16.04 trở về trước, Debian 8 trở về trước, Java 8 đến 8u141, Java 7 đến 7u151 và NSS 3.26 trở về trước.

OpenSSL lên đến và bao gồm nhánh 1.0.2 (việc bảo trì nhánh 1.0.2 đã ngừng hoạt động vào tháng 2019 năm XNUMX);

NSS <3,26
Java 8 <8u141, Java 7 <7u151
các cửa sổ
macOS <10.12.1
iOS <10 (iPhone <5)
Android <2.3.6
Mozilla Firefox <50
Ubuntu <16.04
Debian <8

Vấn đề xuất hiện lần đầu tiên vào năm ngoái sau khi chứng chỉ AddTrust hết hạn được sử dụng để ký chéo trên các chứng chỉ của cơ quan cấp chứng chỉ Sectigo (Comodo). Trọng tâm của vấn đề là OpenSSL đã phân tích cú pháp chứng chỉ dưới dạng một chuỗi tuyến tính, trong khi theo RFC 4158, chứng chỉ có thể đại diện cho một biểu đồ hình tròn phân tán có hướng với các neo tin cậy khác nhau cần được tính đến.

Người dùng các bản phân phối cũ hơn dựa trên OpenSSL 1.0.2 được cung cấp ba giải pháp để giải quyết vấn đề:

Gỡ bỏ chứng chỉ gốc IdenTrust DST Root CA X3 theo cách thủ công và cài đặt chứng chỉ gốc ISRG Root X1 độc lập (không ký chéo).
Chỉ định tùy chọn "–trusted_first" khi chạy lệnh openssl verify và s_client.
Sử dụng chứng chỉ trên máy chủ được chứng nhận bởi chứng chỉ gốc SRG Root X1 độc lập không bị ký chéo (Let's Encrypt cung cấp tùy chọn để yêu cầu chứng chỉ đó). Phương pháp này sẽ dẫn đến mất khả năng tương thích với các máy khách Android cũ.
Ngoài ra, dự án Let's Encrypt đã vượt qua cột mốc hai tỷ chứng chỉ được tạo ra. Vào tháng Hai năm ngoái, cột mốc một tỷ đã đạt được. Mỗi ngày có 2,2-2,4 triệu chứng chỉ mới được tạo ra. Số lượng chứng chỉ đang hoạt động là 192 triệu (chứng chỉ có hiệu lực trong ba tháng) và bao gồm khoảng 260 triệu tên miền (một năm trước nó bao gồm 195 triệu tên miền, hai năm trước - 150 triệu, ba năm trước - 60 triệu).

Theo thống kê từ dịch vụ Firefox Telemetry, tỷ lệ yêu cầu trang trên toàn cầu qua HTTPS là 82% (một năm trước - 81%, hai năm trước - 77%, ba năm trước - 69%, bốn năm trước - 58%).

Để khắc phục, bạn cần đảm bảo rằng máy chủ (đối với admin) và thiết bị (đối với người dùng) sử dụng đúng chuỗi xác thực.

Với các trang web dùng SSL miễn phí, admin có thể xem xét giải pháp thay SSL mới. Sau khi thay SSL mới thì người dùng máy khách phải khởi động lại thiết bị thì mới có thể truy cập vào trang.

Thông tin thêm về vấn đề này và các giải pháp khắc phục các bạn có thể tham khảo ở link dưới đây: https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/