avatar
Для работы HSTS (HTTP Strict Transport Security) очевидно необходим действующий SSL-сертификат, настроенный на веб-сервере. Пожалуй, самым популярным и распространённым из всех выпущенных SSL являются сертификаты удостоверяющего центра Let’s Encrypt. Ими защищены более чем 250 миллионов доменных имён.

30 сентября этого года истёк срок действия корневого сертификата IdenTrust DST Root CA X3, которым подписаны SSL, выпущенные Let's Encrypt. Это стало неприятной неожиданностью для пользователей некоторых устаревших операционных систем, таких как:

Android до версии 7.1.1
MacOS 10.12.0 и старше
Windows до XP Service Pack 3
iOS-устройств до версии iOS 10

Список доверенных корневых сертификатов на них не был обновлён и сайты с Let's Encrypt перестали открываться у таких пользователей.

Исправление проблемы обновлением самого устройства не всегда возможно. Например, по экономическим причинам. В таких случаях со стороны клиента решением может быть установка вручную нового корневого сертификата ISRG Root X1, а со стороны сервера — замена бесплатного сертификата от Let's Encrypt на платный SSL сертификат от другого удостоверяющего центра.