Если после 30 сентября 2021 года Ваш сайт, использующий Lets Encrypt сертификат, перестал открываться у некоторых пользователей, то всему виной тут особенности сертификации Lets Encrypt и использование старых устройств/операционных систем конечными клиентами.
Ниже приводится
отрывок из статьи, которые показывают всю сложность проблемы.
30 сентября: Let's Encrypt и конец срока действия IdenTrust DST Root CA X3
Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt.
Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?
Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let's encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let's Encrypt). За исключением Android >= v2.3.6, т.к. Android не учитывает срок действия своих доверенных корневых сертификатов.
30 сентября после окончания срока действия сертификата DST Root CA X3 часть пользователей старых устройств столкнутся с тем, что не смогут корректно открывать сайты, использующие сертификаты Let's Encrypt. Я бы выделил в первую очередь пользователей старых устройств Apple, для которых нет возможности обновиться хотя бы на iOS 10. Кроме того, под раздачу могут попасть различные устройства IoT, старые телевизоры и подобные им устройства, для которых не существует обновлений с новыми корневыми сертификатами.
Таким образом, чтобы посетитель Вашего сайта, если он столкнулся с этой проблемой, смог посетить сайт несмотря на проблемы с сертификатом Lets Encrypt, можно предпринять следующие действия:
1) Попросить посетителя использовать обновленные версии ОС, браузеров и иного софта, при помощи которого он пытается взаимодействовать сайтом.
2) В зависимости от используемой операционной системы, Вы можете обновить корневые сертификаты в самой ОС. Как это сделать, достаточно хорошо описано в
этой статье3) Вы, как владелец сайта, можете отказаться от работы с Lets Encrypt и приобрести
платный сертификат в нашей компании. Платный сертификат ничем не отличается от Lets Encrypt, кроме срока выпуска (12 месяцев, против 3) и отсутствием проблем с корневыми сертификатами.
Эта проблема не касается хостинга и хостинг никаким образом не может на неё повлиять, к сожалению.
