Как обновить корневой сертификат Lets Encrypt DST Root CA X3?

Для того, чтобы новые корневые сертификаты Lets Encrypt заработали на сервере, при возникновении проблем с обращением к сайтам, которые его используют, необходимо выполнить их установку на сервер. Как правило, новые операционные системы содержат в себе новые сертификаты, однако не всегда ОС являются обновленными своевременно.

CentOS/RHEL
Для обновления сертификатов на CentOS/RHEL сервере, запустите команду под пользователем root:

yum update ca-certificates -y

Отключаем старый сертификат X3:

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

Обновляем сертификаты:

update-ca-trust

Перезапустите систему

Debian/Ubuntu
Для обновления сертификатов на Debian/Ubuntu сервере, проверьте, не используется ли новый корневой сертификат. Для этого, под пользователем root, запустите команду:

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "ISRG Root X1"

Вывод команды должен вернуть следующее:

subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1

Если ничего не вернуло, то добавьте сертификат в список доверенных:

curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt
echo "mozilla/ISRG_Root_X1.crt" >> /etc/ca-certificates.conf
update-ca-certificates

Так же необходимо проверить, какая версия OpenSSL установлена на сервере. Для этого введите команду:

openssl version

Отключите старый сертификат DST Root CA X3:

sed -i 's/mozilla\/DST_Root_CA_X3.crt/!mozilla\/DST_Root_CA_X3.crt/g' /etc/ca-certificates.conf
update-ca-certificates

После выполненных манипуляций перезапустите систему.

Windows Server
Установите все актуальные обновления ОС и браузеров.