Hướng dẫn xử lý DST Root CA X3 hết hạn và LetsEncrypt

Hôm này ngày 1 tháng 10 năm 2021 có rất nhiều khách hàng phản ánh với LPTech là website của họ không thể truy cập được và hiện thông báo “Kết nối của bạn không phải là kết nối riêng tư”. 

Kết nối của bạn không phải là kết nối riêng tư
Những kẻ tấn công có thể đang cố gắng đánh cắp thông tin của bạn từ website (ví dụ: mật khẩu, thư hoặc thẻ tín dụng). Tìm hiểu thêm
NET::ERR_CERT_DATE_INVALID

LPTech mới tiến hành điều tra và có nhận được thông tin nóng hổi của ngành IT vừa được cập nhật cách đó vài giờ. Tin thật buồn khi có khả năng các thiết bị di động cũ sẽ không thể truy cập Internet được kể từ ngày 1/10/2021 vì lý do chứng chỉ ssl của các thiết bị cũ này đang sử dụng đã hết hạng và ngừng hoạt động.

Danh sách các thiết bị được LPTech đề cập bên dưới gồm các dòng máy tính sử dụng hệ điều hành cũ như Windows XP, Android 7.1.1 hoặc iPhone chạy iOS 10 trở về trước, sẽ bị ảnh hưởng bởi sự thay đổi sắp diễn ra và không thể kết nối Internet. Hiện tại, iPhone 5 là chiếc smartphone cuối cùng đang được hỗ trợ nền tảng iOS 10, các phiên bản iPhone trở về sau đều có thể nâng cấp lên iOS 11 hoặc mới hơn.

Ảnh: Lỗi Kết nối của bạn không phải là kết nối riêng tư

Ngừng sử dụng chứng chỉ DST Root CA X3

Let’s Encrypt sẽ ngừng sử dụng chứng chỉ DST Root CA X3. Theo Let’s Encrypt, về cơ bản sự thay đổi này không ảnh hưởng nhiều đến hầu hết người dùng Internet trên toàn thế giới, tuy nhiên, vẫn còn hàng triệu smartphone, laptop, máy tính hay máy chơi game… vẫn đang sử dụng các tiêu chuẩn mã hóa thế hệ cũ, điều này sẽ khiến các thiết bị không thể truy cập Internet nếu không cập nhật lên phiên bản phần mềm mới.

Vào ngày 30 tháng 9 năm 2021, sẽ có một thay đổi nhỏ về cách các trình duyệt và thiết bị cũ tin tưởng chứng chỉ Let’s Encrypt. Nếu bạn chạy một trang web thông thường, bạn sẽ không nhận thấy sự khác biệt – đại đa số khách truy cập vẫn chấp nhận chứng chỉ Let’s Encrypt của bạn. Nếu bạn cung cấp API hoặc phải hỗ trợ các thiết bị IoT, bạn có thể phải chú ý hơn một chút đến sự thay đổi.

Let’s Encrypt có một “chứng chỉ gốc (root certificate)” được gọi là ISRG Root X1 . Các trình duyệt và thiết bị hiện đại tin tưởng chứng chỉ Let’s Encrypt được cài đặt trên trang web của bạn vì chúng bao gồm ISRG Root X1 trong danh sách chứng chỉ gốc của chúng. Để đảm bảo chứng chỉ Let’s Encrypt phát hành đáng tin cậy trên các thiết bị cũ hơn, Let’s Encrypt cũng có “chữ ký chéo” từ chứng chỉ gốc cũ hơn: DST Root CA X3.

Khi Let’s Encrypt bắt đầu, chứng chỉ gốc cũ hơn đó (DST Root CA X3) đã giúp Let’s Encrypt khởi đầu và được hầu hết mọi thiết bị tin tưởng ngay lập tức. Chứng chỉ root mới hơn (ISRG Root X1) hiện cũng được tin cậy rộng rãi – nhưng một số thiết bị cũ hơn sẽ không bao giờ tin tưởng nó vì chúng không nhận được bản cập nhật phần mềm (ví dụ: iPhone 4 hoặc HTC Dream). Nhấp vào đây để xem danh sách các nền tảng tin cậy ISRG Root X1 .

DST Root CA X3 sẽ hết hạn vào ngày 30 tháng 9 năm 2021. Điều đó có nghĩa là những thiết bị cũ hơn không tin tưởng ISRG Root X1 sẽ bắt đầu nhận được cảnh báo về chứng chỉ khi truy cập các trang web sử dụng chứng chỉ Let’s Encrypt.

Có một ngoại lệ quan trọng: các thiết bị Android cũ hơn không tin tưởng ISRG Root X1 sẽ tiếp tục hoạt động với Let’s Encrypt, nhờ dấu chéo đặc biệt từ DST Root CA X3 kéo dài quá thời hạn của root đó, ngoại lệ này chỉ hoạt động cho Android.

Những gì bạn nên làm? Đối với hầu hết mọi người, không có gì cả! Let’s Encrypt đã thiết lập việc cấp chứng chỉ của mình để trang web của bạn sẽ hoạt động đúng trong hầu hết các trường hợp, ưu tiên khả năng tương thích rộng rãi. Nếu bạn cung cấp API hoặc phải hỗ trợ các thiết bị IoT, bạn sẽ cần đảm bảo hai điều:

Tất cả các ứng dụng khách của API của bạn phải tin cậy ISRG Root X1 (không chỉ DST Root CA X3)

Nếu Máy khách (client) API của bạn đang sử dụng OpenSSL, Thì bạn phải sử dụng phiên bản 1.1.0 trở lên. Trong OpenSSL 1.0.x, một sai sót trong xác minh chứng chỉ có nghĩa là ngay cả những ứng dụng Client tin tưởng ISRG Root X1 cũng sẽ không thành công khi được hiển thị với chuỗi chứng chỉ tương thích với Android mà Let’s Encrypt đang đề xuất theo mặc định.

Chứng chỉ SSL là gì? 

SSL (viết tắt từ cụm từ Secure Sockets Layer) là một công nghệ bảo mật tiêu chuẩn để thiết lập liên kết được mã hóa giữa máy chủ server và các trình duyệt nhằm đảm bảo độ bảo mật website và quyền riêng tư của người dùng khi truy cập vào một website. 

Xem thêm tại bài viết: SSL là gì? Nên dùng chứng chỉ SSL miễn phí hay trả phí?

Hậu quả của việc này là gì ?

Hàng triệu smartphone, máy tính và nhiều thiết bị khác đang sử dụng giao thức mã hóa lỗi thời sẽ có thể gặp vấn đề khi truy cập các website cài đặt SSL miễn phí từ Let’s Encrypt.

Theo Entrepreneur, nhiều phương tiện truyền thông loan tin, sắp xảy ra “sự cố Internet” khiến hàng triệu máy tính, smartphone và các thiết bị có kết nối với Internet, chẳng hạn như máy chơi game cầm tay, không thể truy cập mạng.

Tin đồn xuất phát từ một vấn đề có thật. Vào ngày 30/9/2021, chứng chỉ IdentTrust DST Root CA X3 sẽ hết hạn. Đây là tiêu chuẩn mã hóa kết nối giữa thiết bị của người dùng với Internet, đảm bảo rằng không ai có thể chặn và đánh cắp dữ liệu khi truyền đi.

Nói một cách đơn giản, khi người dùng truy cập trang web bắt đầu với https, đường truyền sẽ được bảo mật bởi những chứng chỉ khác nhau, trong đó có IdentTrust DST Root CA X3.

Tổ chức phi lợi nhuận Let’s Encrypt là đơn vị phát hành IdentTrust DST Root CA X3, tuy nhiên, họ sẽ ngừng cung cấp chứng chỉ sau ngày 30/9.

Theo TechCrunch, việc này không ảnh hưởng đến phần lớn người dùng Internet trên thế giới. Tuy nhiên, vẫn có những máy tính, thiết bị và trình duyệt không thể kết nối mạng nếu chúng chưa được cập nhật.

Cụ thể, những dòng máy không được nâng cấp thường xuyên, chẳng hạn như hệ thống nhúng không có tính năng tự động cập nhật hoặc smartphone chạy phiên bản hệ điều hành lạc hậu, sẽ thuộc nhóm bị ảnh hưởng.

“Người dùng đang sử dụng macOS 2016, Windows XP (SP 3) hoặc cũ hơn, các phần mềm dựa trên OpenSSL 1.0.2 trở xuống và PlayStations 4 chưa được nâng cấp firmware mới có thể gặp phải sự cố”, TechCrunch cho biết.

Đối với các dòng máy chạy Android, Let’s Encrypt đã gia hạn hiệu lực chứng chỉ cho thiết bị chạy phiên bản cũ hơn Android 7.1.1 thêm 3 năm, nhưng phiên bản 2.3.6 trở xuống có thể bị ngưng hỗ trợ hoàn toàn.

Những người dùng phiên bản cũ hơn iOS 10 cũng sẽ bị ảnh hưởng bởi sự cố. Hiện tại iPhone 5 là model thấp nhất có thể lên được hệ điều hành này, do đó, iPhone 4s, iPad 3, iPad mini và iPod touch gen 5 trở xuống nhiều khả năng gặp vấn đề khi kết nối Internet sau 30/9.

Nếu đang sử dụng các thiết bị ra đời từ nhiều năm trước và không chắc về khả năng chịu ảnh hưởng bởi sự cố này, bạn nên kiểm tra bản cập nhật phần mềm dành cho máy và trình duyệt web để nâng cấp lên phiên bản mới nhất.

Hướng dẫn xử lý DST Root CA X3 hết hạn và LetsEncrypt:

Việc hết hạn chứng chỉ ssl CA X3 làm ảnh hưởng đến việc truy cập internet toàn cầu của các thiết bị Cũ, hoặc không còn được hỗ trợ. Ngoài ra nếu bạn là nhà phát triển website thì bạn có thể nâng cấp SSL của mình lên bản trả phí để các thiết bị cũ có thể truy cập bình thường mà không lệ thuộc vào DST Root CA X3 gặp vấn đề trên.

Cách 1: Cập nhật ứng dụng truy cập web

Nếu bạn sử dụng trình duyệt Firefox bạn chỉ cập nhật trình duyệt và sẽ có thể truy cập lại. Nguyên nhân là các trình duyệt (Chrome, Safari, Edge, Opera) thường tin tưởng các root certificates như hệ điều hành mà chúng đang chạy. Firefox là ngoại lệ: nó có kho lưu trữ root certificates của riêng mình. Vì vậy nếu dùng các trình duyệt khác ngoài firefox bạn sẽ cần

Cách 2: Cập nhật hệ điều hành

Cập nhật hệ đều hành đang sử dụng lên bản mới nhất, chi tiết các trình duyệt và hệ điều hành hỗ trợ ISRG Root X bạn có thể xem thêm tại đây

Đối với người dùng sử dụng Windows: Bạn có thể truy cập trên trình duyệt đến địa chỉ sau: https://valid-isrgrootx1.letsencrypt.org/ sẽ nhắc Windows tự động đưa ISRG Root X1 vào root CA của nó.

Đối với macOS, iOS, v.v. : chúng giữ lại CA đã hết hạn nên bạn có thể thử reset các thiết bị sau đó thử truy cập lại.

Cách 3: Danh cho nhà phát triển website

Nếu như vì một số lý do liên quan hệ thống và bảo mật bạn không thể update các thiết bị lên phiên bản mới nhất. Bạn có thể đăng ký sử sụng SSL có phí không phải là letsenscrypt để khắc phục hoàn toàn lỗi này.

Nếu bạn là quản trị website thì có thể liên hệ LPTech để mua chứng chỉ SSL như bảng giá bên dưới.

BẢNG GIÁ DỊCH VỤ GEOTRUST SSL

Đánh giá post