Cloudflare — требуется действие, предстоящее изменение цепочки сертификатов Let's Encrypt



Мы обращаемся к вам, чтобы сообщить вам о предстоящем изменении, которое повлияет на совместимость устройств с сертификатами Let's Encrypt, выпущенными после 15 мая 2024 г. Мы обращаемся к вам, поскольку мы определили, что вы в настоящее время используете сертификаты Let's Encrypt через Universal SSL, Advanced. Диспетчер сертификатов, специальные сертификаты или SSL для SaaS. Мы рекомендуем вам ознакомиться с изменением Let's Encrypt и заранее внести все необходимые изменения.

Обзор изменений
Let's Encrypt выдает сертификаты через две цепочки: корневую цепочку ISRG X1 и корневую цепочку ISRG X1, перекрестно подписанную корневым центром сертификации DST X3 компании IdenTrust. Цепочка с перекрестной подписью позволила сертификатам Let's Encrypt завоевать широкое доверие, в то время как чистая цепочка за последние 3 года обеспечила совместимость с различными устройствами, в результате чего количество Android-устройств, доверяющих ISRG Root X1, увеличилось с 66% до 93,9%.

Let's Encrypt объявила, что срок действия цепочки с перекрестной подписью истекает 30 сентября 2024 года. В результате Cloudflare прекратит выдачу сертификатов из цепочки центров сертификации с перекрестной подписью 15 мая 2024 года.

Влияние
Истечение срока действия цепочки с перекрестной подписью в первую очередь повлияет на старые устройства (например, Android 7.0 и более ранние версии) и системы, которые полагаются исключительно на цепочку с перекрестной подписью и не имеют цепочки ISRG Root X1 в своем хранилище доверенных сертификатов. Это изменение может привести к сбоям проверки сертификатов на этих устройствах, что потенциально может привести к появлению предупреждающих сообщений или проблемам с доступом для пользователей, посещающих ваш веб-сайт.

Влияние на сертификаты, выданные через Universal SSL, Advanced Certificate Manager или SSL для SaaS:
  • Чтобы подготовиться к истечению срока действия ЦС, после 15 мая Cloudflare больше не будет выдавать сертификаты из цепочки с перекрестной подписью. Сертификаты, выданные до 15 мая, будут по-прежнему выдаваться клиентам с цепочкой с перекрестной подписью. Сертификаты, выпущенные 15 мая или позже, будут использовать цепочку ISRG Root X1. Кроме того, это изменение влияет только на сертификаты RSA. Это не влияет на сертификаты ECDSA, выданные через Let's Encrypt. Сертификаты ECDSA сохранят тот же уровень совместимости, который они имеют сегодня.

Влияние на сертификаты, загруженные через пользовательские сертификаты:
  • Сертификаты, загруженные в Cloudflare, объединяются в цепочку сертификатов, которую Cloudflare считает наиболее совместимой и эффективной. После 15 мая 2024 года все сертификаты Let's Encrypt, загруженные в Cloudflare, будут объединены с цепочкой ISRG Root X1 вместо цепочки с перекрестной подписью. Сертификаты, загруженные до 15 мая, будут продолжать использовать цепочку с перекрестной подписью до тех пор, пока этот сертификат не будет продлен.

Важные даты
15 мая 2024 г.: Cloudflare прекратит выдачу сертификатов из цепочки центров сертификации с перекрестной подписью. Кроме того, пользовательские сертификаты Let's Encrypt, загруженные после этой даты, будут связаны с цепочкой ISRG X1 вместо цепочки с перекрестной подписью.
30 сентября 2024 г. Срок действия цепочки центров сертификации с перекрестной подписью истечет.

Рекомендации:
  • Чтобы уменьшить влияние этого изменения, мы рекомендуем предпринять следующие шаги:
  • Измените центры сертификации. Если ваши клиенты отправляют запросы к вашему приложению с устаревших устройств и вы ожидаете, что это изменение повлияет на них, мы рекомендуем использовать другой центр сертификации или загрузить сертификат из выбранного вами центра сертификации.
  • Мониторинг. После внедрения изменения мы рекомендуем отслеживать ваши каналы поддержки на предмет любых запросов, связанных с предупреждениями о сертификатах или проблемами доступа.
  • Обновите хранилище доверенных сертификатов. Если вы контролируете клиентов, подключающихся к вашему приложению, мы рекомендуем обновить хранилище доверенных сертификатов, включив в него цепочку ISRG Root X1, чтобы предотвратить влияние.

Треть Android-устройств не сможет распознавать сертификаты Let's Encrypt

Удостоверяющий центр Let's Encrypt анонсировал переход на использование собственных корневых сертификатов. Ранее компания предоставляла перекрёстно подписанные сертификаты по соглашению с IdenTrust, которое истекает 1 сентября 2021 года.

Корневые сертификаты Let's Encrypt будут распознаваться во всех браузерах, кроме устаревших версий Android.

Версии до 7.1.1, используемые на 33,8% Android-устройств, при входе на сайт, защищённый Let's Encrypt, будут получать сообщение об ошибке. Чтобы решить проблему, пользователям устаревших Android-устройств предлагают использовать браузер Mozilla Firefox, однако он доступен только с версии Android 5.0. Решения для более старых версий нет.

С 11 января 2021 года сертификаты по умолчанию будут заверяться корневым сертификатом Let's Encrypt. По запросу можно будет получить альтернативный сертификат с перекрёстной подписью, но с 1 сентября 2021 от него откажутся совсем.

Бесплатный SSL от Let’s Encrypt может работать нестабильно



Роскомнадзор в ходе блокировки запрещённых ресурсов закрыл доступ к ряду IP-адресов, на которых размещены сервисы Let’s Encrypt, выпускающего бесплатные сертификаты.
habr.com/ru/company/itsumma/news/t/470606/

К чему это может привести:
  • к проблемам с выпуском и продлением сертификатов Let's Encrypt;
  • пребывание на сайте станет небезопасно;
  • к снижению уровня доверия пользователей к сайту;
  • нестабильной работе платежной системы и как следствие к уменьшению количества оплат на сайте;
  • падению позиций в SEO;
  • нарушению работы ссылок с внешних сайтов.

Всего этого можно избежать, подключив SSL-сертификат от одного из сертификационных центров:


В чём преимущество этих сертификатов?
  • 60% компаний мира используют сертификаты этих центров для защиты сайтов и сервисов;
  • срок действия сертификатов — от года до двух лет;
  • гарантия надёжности и уровня шифрования.
firstvds.ru/services/ssl_certificate

StormWall предоставляет поддержку Letsencrypt для своих клиентов



Все клиенты, имеющие защиту сайта StormWall, могут получать и автоматически продлевать бесплатные SSL-сертификаты непосредственно через панель управления, используя Letsencrypt.

https://stormwall.pro

Эпоха “Пост-Let’s Encrypt”. Кому по-прежнему стоит платить за SSL сертификаты?



В июле пользователям ISPmanager стала доступна интеграция с Let’s Encrypt. Получить SSL теперь можно не только бесплатно, но и максимально удобно. Выпуск, установка на сервер, продление – все автоматически. И так и должно быть, ведь уже сегодня сертификаты LE справляются с большинством задач. Они обеспечивают надежное шифрование, «дружат» с популярными браузерами и не дают потерять SEO-поинты по правилам Google. С таким раскладом бесплатные SSL подойдут для 90% сайтов. Тогда кто те оставшиеся десять, кто должен продолжать платить? За кого в ближайшее время поборются Сomodo и Symantec?

Главным образом, это проекты e-commerce. И есть сразу несколько причин, почему им не стоит спешить с установкой нашего модуля. Остановимся на каждой подробнее.

Читать дальше →

Бесплатный SSL-сертификат для всех клиентов виртуального хостинга к каждому домену

Айхор хостинг и Let's Encrypt начали программу по развитию и популяризации защиты и шифрования данных, обеспечивая их сохранность и конфиденциальность.

Мы хотим, чтобы каждый клиент нашего хостинга мог не беспокоиться о своих или же персональных данных его клиентов, поэтому начиная с сегодняшнего дня любой пользователь, который пользуется услугами php-хостинга может совершенно бесплатно и за считанные секунды выпустить и установить SSL-сертификат от компании Let's Encrypt для своих доменов.

Установив SSL-сертификат, попасть в топ Google станет проще! Популярнейший поисковик изменил правила поисковой выдачи и теперь сайты, которые используют защищенное HTTPS-соединение, поднимаются выше в результатах поиска, по сравнению с конкурентами без SSL.

Let’s Encrypt — центр сертификации, который работает с 2015 года и предоставляет бесплатные SSL-сертификаты сроком действия в 90 дней с автоматическим бесплатным продлением для HTTPS-шифрования данных. За все время работы центра было выпущено более 1 миллиона бесплатных сертификатов.

Для выпуска и подключения SSL-сертификата к вашему домену достаточно
выполнить 2 простых шага:
  1. Перейти в панель управления хостингом — cPanel.
  2. В блоке «Безопасность» выбрать Let’s Encrypt for cPanel.

Бесплатные SSL-сертификаты

Бесплатные SSL-сертификаты от Let’s Encrypt, для клиентов Хостинга и VPS серверов с панелью управления Plesk



Для клиентов облачного хостинга выпуск SSL сертификатов уже доступен в панели управления.Не так давно (3-го декабря 2015 года, если быть точным) – стала общедоступной бета-версия Let’s Encrypt. Вкратце, данный сервис дает вам возможность установить бесплатно, доверенный сертификат на любой из ваших сайтов, который будет не только шифровать соединение между сайтом и браузером посетителя, но и отображать ваш сайт как надежный, это означает, что посетителю не будет показано предупреждение о не подлинном сертификате. Это преимущество по сравнению с самозаверяющими сертификатами (которые тоже бесплатные, но не надежные) — это особенно актуально при обеспечении безопасности сайтов электронной коммерции. В дополнение к бесплатной выдаче сертификатов, Let’s Encrypt также предоставляет инструменты для отзыва и продление сертификата, на которые системные администраторы тратят очень много времени и усилий.

Согласен, можно было купить сертификат TLS раньше, но нет финансовых оснований для небольших сайтов с низкой читательской аудитории, как, например, персональные сайты. Другие компании (StartCom) также предлагает бесплатные сертификаты в течение некоторого времени, но они имеют ряд ограничений (без коммерческого использования, платный отзыв сертификата и т. д.). Кроме того, запросив бесплатный сертификат StartCom можно сделать только вручную, а вот сертификаты могут выдаваться автоматически, экономя время и усилия.
Let’s Encrypt поставляется с рядом ограничений, а именно:
  • Выданные сертификаты остаются действительными в течение 90 дней, и должна быть изменена на регулярной основе. Естественно, если вы решили обновить вручную, вы обязательно забудете это сделать рано или поздно.
  • Шифрование клиента официальной пусть есть только интерфейс командной строки CLI.
  • Клиент работает путем редактирования файлов конфигурации Apache, который вводит возможность что-то идет не так (с потенциально неприятным результатам).
  • Поддержку nginx все еще находится в экспериментальной стадии.
  • Установки клиента требуется наличие средства разработки (autotool, ССЗ) на сервер для компиляции зависимостей (криптография, psutil, в Python-PIP и Python на виртуальное окружение, виртуальное окружение, cffi), который вообще не рекомендуется использовать на рабочем сервере.
Если вы управляете сервером через Plesk, то все намного проще. Мы составили ряд давайте шифровать пакеты для большинства операционных поддерживается plesk и поместили их в отдельном репозитории на autoinstall.plesk.com/. Кроме того, мы подготовили продлении давайте шифрование для plesk, состоящий из двух частей:
  • Панель управления – официальный давайте шифрование командной строки клиента вместе с плагином способствуя его интеграции с plesk. Плагин использует plesk в формате XML API, чтобы проверить и установить сертификаты.
  • Само расширение, предоставляя пользователю интерфейс и автоматическое обновление сертификатов.


galaxydata.ru/hosting/sites/

Бесплатные SSL-сертификаты для всех

Мы рады сообщить, что теперь пользователи нашего хостинга прямо из панели управления могут бесплатно заказать
SSL-сертификат, предоставляемый некоммерческой организацией Let's Encrypt. Сертификат будет автоматически выпущен и установлен для вашего домена, а в последствии будет автоматически продлеваться. Для заказа Let's Encrypt сертификата не требуется выделенный IP-адрес.

Выпуск, установка и дальнейшее продление сертификата — абсолютно бесплатны!


Как заказать бесплатный SSL-сертификат?
1. Зайдите в раздел «Домены» и выберите напротив домена «Управление SSL сертификатами».

2. В открывшемся окне перейдите на вкладку «Бесплатный сертификат» и нажмите кнопку «Заказать».

3. После отправки заказа SSL-сертификата на контактный email вы получите письмо о подаче заявки на выпуск SSL, а затем еще одно письмо о завершении его установки.
4. В момент установки для домена будет автоматически изменена A-запись, если домен работает на наших DNS. Если вы используете не наши DNS, то необходимо самостоятельно прописать на них указанный в письме IP-адрес в качестве А-записи для домена.

DNS записи обычно обновляются в течение 10-15 минут, после их обновления проверьте корректную работу сайта через https и при необходимости настройте редирект с http на https на постоянной основе.

Убедитесь, что все подключаемые к сайту ресурсы запрашиваются по https, а также все внутренние и внешние ссылки указаны по протоколу https. В противном случае, это может повлиять на правильную работу сайта.

Если все прошло успешно, то при запросе сайта по https, в адресной строке браузера вы увидите зеленый замок слева от адреса вашего сайта , который означает, что установлено безопасное соединение с ним. Нажмите на иконку зеленого замка, если хотите посмотреть более подробную информацию о выпущенном сертификате.

Данный сервис предоставляется бесплатно и находится в открытом бета-тестировании для наших клиентов. В случае обнаружения каких-либо проблем обращайтесь в техническую поддержку, мы с радостью постараемся вам помочь и сделать сервис удобнее.

Let's start 2016 right: Let's Encrypt, FreeBSD, PHP update and new TLDs

The year 2016 has barely begun and it's already been a big year for Gandi. First and foremost, we've just completed an integration of Let's Encrypt to our Simple Hosting and Gandi Server platforms and launched LiveDNS in bêta, we are adding FreeBSD to our supported images on Gandi Server, planning PHP update on Simple Hosting and launching very popular new TLDs.

1.Gandi Integrates Let's Encrypt
The biggest news out of Gandi this month has to be the announcement of our financial support for Let's Encrypt and our subsequent technical integration of our Simple Hosting and Gandi Server platforms with Let's Encrypt certificates.
www.gandi.net/news/en/2016-01-12/6677-free_tlsssl_certificates_with_lets_encrypt_and_gandi/

2. Hosting: New policy on system images
«Jack of all trades, master of none,» has never been a slogan we subscribed to. But we do recognize the need to focus our energies on making what we do well as perfect as possible, and yes, sometimes that means letting other things go. It's in that spirit that we are, as of 16 January 2016, reducing the number of available systems on our cloud
infrastructure hosting platform. Read more here:
www.gandi.net/news/en/2015-12-23/6473-introducing_freebsd_and_trimming_down_the_official_image_list

3. PHP update coming on Simple Hosting
Love it or hate it, PHP is the backbone of a lot of sites online, including popular CMSs like Wordpress, and it's by far the most popular language choice for a Gandi Simple Hosting instance, which currently uses PHP 5.4.45. The good news this month is that by the end of January we expect to be pushing version 5.6 on new Simple Hosting instances. No interruption in service will occur this time around since the change will only be applicable to new Simple Hosting instances. For those who currently have Simple Hosting instances using PHP 5.4.45, we're still working on an update procedure that will minimize the impact on your up-time. We'll keep you posted as we make further progress on that part.
For now, though, once this update is installed, new instances will have PHP 5.6 available, good news to a growing portion of current and potential Simple Hosting users.

4. Introducing Packet Journey
We also just introduced a new project allowing network operators to mount easy-to-configure, scalable software routers. Based on DPDK drivers and libraries and utilises functionalities which are native to the Linux kernel, forming a bridge between fast-forwarding and flexible software routing, it's called Packet Journey, and you can check out the GitHub page here:
github.com/Gandi/packet-journey

5. Live DNS now in beta
We are really excited about this one. We are currently beta testing our new DNS service, LiveDNS. This represents a significant development from our previous (current) DNS service. We completely overhauled the backend and the new service has its own set of nameservers that we update immediately upon any change you make. LiveDNS offers powerful features to manage DNS Zone templates that you can then integrate into your workflow, such as: bulk record management, association with multiple domains, versioning and rollback.
www.gandi.net/news/en/2015-12-29/6536-livedns_beta_first_glimpse_into_our_new_dns_platform/

6. Reminder: .uk prices going up
It's won't be for a while yet, but we wanted to give you a fair warning about this upcoming price increase on .uk domains (including .co.uk, .org.uk and .me.uk). On 1 March, prices for these domains will be changing in all currencies. For the details, we suggest navigating to this page:
www.gandi.net/news/en/2016-01-06/6644-price_increase_on_.uk_domains_march_1st/
But overall we want you to know that if you own a .uk domain—or want to—now is the time to register or renew it, before the price increase in March.

7. New TLD Release Calendar
Saturday 9 January:
.feedback (Landrush)
Monday 11 January:
.swiss (GoLive)
Sunday 17 January:
.family (Landrush)
Monday 18 January:
.feedback (GoLive)
Tuesday 19 January:
.corsica (GoLive)
.pet (Sunrise)
Wednesday 20 January:
.auto (GoLive)
.car (GoLive)
.cars (GoLive)
.family (GoLive)
Sunday 24 January:
.vin (Landrush)
.wine (Landrush)
Monday 25 January:
.cloud (Landrush)
Tuesday 26 January:
.protection (Landrush)
.security (Landrush)
.theatre (Landrush)
Wednesday 27 January:
.protection (Landrush)
.security (Landrush)
.theatre (Landrush)
.vin (Landrush)
.wine (Landrush)
.ist (Sunrise)
.istanbul (Sunrise)

8. Promo Roundup
Half-price for a half-year means .in domains are on sale for €6.25 until 30 June 2016:
www.gandi.net/news/en/2016-01-01/6545-half_price_half_the_year_on_.in/

A virtual explosion of colorful (and more) extensions are 50% off from now until 30 June: www.gandi.net/news/en/2016-01-01/6464-a_colorful_explosion_of_extensions_50_until_june_30/

You and .me can spend 2016 together with 40%-off one-year registrations all year, that's just €9.60: www.gandi.net/news/en/2016-01-04/6614-spend_2016_with_.me_40_off_all_year/

From 1 January 2016 until 31 March 2016, .asia is on sale for just €5.40
per year—that's 70% off:
www.gandi.net/news/en/2016-01-01/6542-start_the_new_year_with_70_off_.asia/

Attention designers! From 1 January until 15 February, .design domains
are 50% off: www.gandi.net/news/en/2016-01-01/6458-half-off_on_.design_domains_until_february_15/

One-third off the TLDs for the Channel Islands of Jersey and Guernsey:
.je and .gg this January: www.gandi.net/news/en/2016-01-01/6461-one_third_off_.je_.gg_domains_this_january/

Link yourself in with a .link domain, on sale this January for 80%-off: www.gandi.net/news/en/2016-01-01/6452-find_the_missing_.link_at_80-off_this_january/

Got photos? Like photos? Take photos? Get a .photo domain for 80% off
this January: www.gandi.net/news/en/2016-01-01/6455-take_a_.photo_this_january_for_80_off/

Explore .space this month (until 31 January 2016) when domains in this
extension go on sale for just €1.89 per year: www.gandi.net/news/en/2016-01-01/6539-enter_the_.space_age_this_month_with_80_off/

From 11 January through 31 March, .rocks and .social are half price:
www.gandi.net/news/en/2016-01-11/6575-half-off_.rocks_.social_now_until_march_31/

And still…
Short for Cameroon (and with the imagination a few other things), .cm is
on sale for €15.00 until 31 January:
www.gandi.net/news/en/2015-11-01/5936-promotion_for_.cm_until_the_end_of_january/

EXTENDED: .irish is on sale until 29 February for €14.00:
www.gandi.net/news/en/2015-10-05/5780-.irish_are_on_sale_this_fall_extended/

50-75% off a delightful selection of TLDs from Minds + Machines Registry
until 31 January 2016: www.gandi.net/news/en/2015-12-20/4889-our_pairing_guide_for_50-75_off_domains_until_the_end_of_the_year/

.online is on sale for 80%-off for domain creations from 15 December
through 14 January: www.gandi.net/news/en/2015-12-14/6359-a_promo_on_.online_to_bring_it_together/

Don't forget you can find all our current promotions on: www.gandi.net/news/tag/en/promos_tld

And if you want to drop us a line, you can reach us at:
Twitter twitter.com/gandibar
Facebook www.facebook.com/gandibar
Google+ plus.google.com/u/0/+GandiN...
and on the #gandi channel on Freenode. \o/

All the best, The Gandi Team