ERR_CERT_COMMON_NAME_INVALID! Certificati Let’s Encrypt non validi (30 settembre 2021)

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp
Condividi su email
Certificati

Il 30 settembre 2021 è avvenuto un piccolo grande cambiamento nella gestione dei certificati SSL Let’s Encrypt.


A partire dal 30 settembre molti dispositivi segnaleranno non validi i certificati SSL Let’s Encrypt anche se formalmente validi. Ad esempio, lo stesso certificato potrà essere segnalato non valido su un computer Windows NT e valido su un sistema operativo più recente. L’errore più comune che si presente è

ERR_CERT_COMMON_NAME_INVALID

Scadenza del certificato DST Root CA X3 SSL

Questo è dovuto alla scadenza del certificato DST Root CA X3 SSL.

L’articolo di seguito è tratto dal sito Let’ Encrypt e viene riportato qui per cercare di dare visibilità a questo argomento, che sappiamo comunque essere molto ostico.

La fonte è la seguente

https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

Cosa cambia il 30 settembre 2021

Dal 30 settembre 2021 ci sarà un piccolo cambiamento nel modo in cui i browser e i dispositivi meno recenti si fidano dei certificati Let’s Encrypt. Se gestisci un sito web potresti non notare alcuna differenza: la stragrande maggioranza dei tuoi visitatori considererà valido il  tuo certificato Let’s Encrypt. Se fornisci un’API, o il tuo applicativo web si connette a server differenti, anche tramite SOAP, CURL o altre tecnologie IoT, potresti invece incontrare dei problemi e fare un po’ più di attenzione al cambiamento in atto.

Il certificato root SSL X1

Let’s Encrypt ha un “certificato SSL root” chiamato ISRG Root X1. I browser e i dispositivi moderni si fidano del certificato Let’s Encrypt installato sul tuo sito Web perché includono ISRG Root X1 nel loro elenco di certificati radice. Per assicurarci che i certificati che emettiamo siano affidabili sui dispositivi meno recenti, abbiamo anche una “firma incrociata” da un certificato radice precedente: DST Root CA X3.

Quando Let’s Encrypt ha iniziato il processo di messa in sicurezza della rete con l’emissione dei primi certificati SSL il vecchio certificato radice (DST Root CA X3) ha permesso un’ampia diffusione del sistema di affidabilità, permettendo a molti applicativi e server di essere considerati immediatamente affidabili da quasi tutti i dispositivi. Anche il certificato radice più recente (ISRG Root X1) è ora ampiamente riconosciuto ma alcuni dispositivi, soprattutto i meno recenti che non hanno più aggiornamenti ai sistemi operativi, dal 30 settembre 2021 potrebbero considerare i nuovi certificati non sicuri, non avendo aggiornato  ISRG Root X1 nel loro elenco di certificati radice. Tra questi dispositivi abbiamo ad esempio, un iPhone 4 o un HTC Dream.

Lista piattaforme compatibili con certificato SSL ISRG Root X1

Ecco un elenco delle piattaforme che si fidano di ISRG Root X1

  • Windows >= XP SP3 ( supponendo che l’aggiornamento automatico del certificato di root non sia disabilitato manualmente )
  • macOS >= 10.12.1
  • iOS >= 10 ( iOS 9 non lo include )
  • iPhone 5 e versioni successive possono eseguire l’aggiornamento a iOS 10 e possono quindi fidarsi di ISRG Root X1
  • Android >= 7.1.1 (ma Android >= 2.3.6 funzionerà per impostazione predefinita a causa del nostro speciale segno di croce )
  • Mozilla Firefox >= 50.0
  • Ubuntu >= xenial / 16.04 (con aggiornamenti applicati)
  • Debian >= jessie / 8 (con aggiornamenti applicati)
  • Java 8 >= 8u141
  • Java 7 >= 7u151
  • NSS >= 3.26

I browser (Chrome, Safari, Edge, Opera) generalmente si fidano degli stessi certificati radice del sistema operativo su cui sono in esecuzione. Firefox è l’eccezione: ha il proprio root store. Presto, anche le nuove versioni di Chrome avranno il proprio root store .

Piattaforme che si fidano di DST Root CA X3

  • Windows >= XP SP3
  • macOS (la maggior parte delle versioni)
  • iOS (la maggior parte delle versioni)
  • Android >= v2.3.6
  • Mozilla Firefox >= v2.0
  • Ubuntu >= preciso / 12.04
  • Debian >= spremere / 6
  • Java 8 >= 8u101
  • Java 7 >= 7u111
  • NSS >= v3.11.9
  • Amazon FireOS (browser della seta)
  • Cianogeno > v10
  • Sistema operativo Jolla Sailfish > v1.1.2.16
  • Kindle > v3.4.1
  • Mora >= 10.3.3
  • Console di gioco PS4 con firmware >= 5.00

Dispositivi incompatibili

  • Blackberry < v10.3.3
  • Android < v2.3.6
  • Nintendo 3DS
  • Windows XP prima di SP3
  • non è in grado di gestire i certificati firmati SHA-2
  • Java 7 < 7u111
  • Java 8 < 8u101
  • Windows Live Mail (client di posta 2012, non webmail)
  • non può gestire i certificati senza un CRL
  • Console di gioco PS3
  • Console di gioco PS4 con firmware <5.00
  • ISRG Root X2 (nuovo root ECDSA) – in arrivo

Per un elenco delle piattaforme visita qui elenco di quali piattaforme si fidano di ISRG Root X1.

DST Root CA X3 scadrà il 30 settembre 2021

Questo significa che i dispositivi meno recenti che non si fidano di ISRG Root X1 inizieranno a ricevere avvisi sui certificati quando si visitano siti che utilizzano certificati Let’s Encrypt. C’è un’eccezione importante: i dispositivi Android meno recenti che non si fidano di ISRG Root X1 continueranno a funzionare con Let’s Encrypt, grazie a uno speciale segno incrociato di DST Root CA X3 che si estende oltre la scadenza di tale root. Questa eccezione funziona solo per Android.

Cosa fare se il tuo sito segnala un certificato SSL non valido

Cosa dovresti fare? Per la maggior parte delle persone, niente di niente! Let’s Encrypt ha impostato l’emissione di certificati in modo che gli aggiornamenti rendano il sito valido. Se fornisci un’API o devi supportare dispositivi IoT, dovrai assicurarti di due cose: (1) tutti i client della tua API devono fidarsi di ISRG Root X1 (non solo DST Root CA X3) e (2) se i client della tua API utilizzano OpenSSL, devono utilizzare la versione 1.1.0 o successiva. In OpenSSL 1.0.x, una stranezza nella verifica del certificato significa che anche i client che si fidano di ISRG Root X1 falliranno quando verranno presentati con la catena di certificati compatibile con Android che raccomandiamo per impostazione predefinita.

Come verificare se il certificato SSL è valido

Se il tuo certificato viene convalidato su alcune delle piattaforme “Compatibili conosciute” ma non su altre, il problema potrebbe essere un’errata configurazione del server web. Se riscontri un problema con le piattaforme moderne, la causa più comune è l’impossibilità di fornire la catena di certificati corretta. Testa il tuo sito con il test del server di SSL Labs

Condividi
Condividi su facebook
Condividi su google
Condividi su twitter
Condividi su linkedin
guest
0 Commenti
Inline Feedbacks
View all comments

Potrebbe Interessarti

Luca Mainieri
Ingegnere per formazione, creativo per passione! Mi interesso di web dal 1998 e dal 2002 il digital è diventata la mia professione. Dopo essermi dedicato alla programmazione (web, server e mobile) mi sono occupato di consulenza, affiancando importanti aziende nell’area sviluppo, project management e web marketing. Dal 2009 sono CEO di Neting.it.
Condividi
Condividi su facebook
Facebook
Condividi su linkedin
LinkedIn

Ecco la tua checklist

Ci sei quasi, ti stiamo inviando la tua checklist editabile. Compila il form qui sotto. Grazie!

Checklist Sito Web Popup