Expiração do DST Root CA X3 no Windows7. Qual atualização eu preciso instalar? Existem soluções alternativas?

A "atualização" é apenas a autoridade de certificação ISRG Root X1 sem assinatura cruzada real que a Let's Encrypt usará a partir de agora. (Baixe a versão "DER autoassinado".)

O que precisa ser consertado

Não há nada para atualizar do lado do software, pois a pilha X.509 e TLS incorporada ao Windows já é muito boa em lidar com várias cadeias de validação. (Tem que ser capaz de lidar com o US DoD Federal PKI, que usa assinatura cruzada extensivamente . Basta olhar para este gráfico! As situações AddTrust e ISRG são relativamente mansas em comparação.)

Portanto, no início, enquanto os sites ainda estão enviando a DST → ISRG X1 → LEcadeia, basta instalar outra versão válida da mesma raiz X1 em suas "Autoridades de certificação raiz confiáveis" - o Windows entenderá que é fundamentalmente a mesma CA (devido a ter o mesmo assunto e chave pública) e causará um curto-circuito na validação, ignorando completamente o horário de verão.

Algum tempo depois, depois que os sites passarem por suas renovações automáticas de LE (e começarem a enviar a nova ISRG X1 → LEcadeia direta), a assinatura cruzada e os caminhos alternativos não farão mais parte do problema - nesse ponto, será simplesmente "o site usa uma CA raiz que você não possui", e instalar a raiz X1 é novamente a solução.

Como corrigi-lo

Para a maioria dos usuários, isso provavelmente acontecerá automaticamente, por meio do recurso "Atualização automática de certificados raiz", assim que eles visitarem um site afetado pela primeira vez. (Por exemplo, acabei de inicializar uma VM do Windows 7 e visitei um desses sites - enquanto a primeira visita exibiu um erro de expiração, a segunda não, e "ISRG Root X1" apareceu em certmgr.msc por conta própria.)

A partir do Windows 7 (ou Vista?), esse recurso não faz parte do Windows Update (as raízes são baixadas sob demanda, não são distribuídas como um pacote de atualização padrão), mas suponho que você também o tenha desabilitado . Nesse caso, baixe o certificado ISRG Root X1 do site da LE e importe-o manualmente para o armazenamento de Raízes Confiáveis ​​em toda a máquina.

• Através da GUI:

  

• Através da linha de comando:certutil -ent -addstore Root isrgrootx1.der

O que isso realmente não conserta

Observe que o Firefox está listado separadamente porque ele não usa a loja de CA do Windows (ele tem o programa Mozilla CA), nem o código do Windows X.509/TLS (ele usa NSS e mozilla::pkix) – a versão que você já está usando tem a raiz ISRG integrada, independentemente do sistema operacional. O mesmo vale para Thunderbird e SeaMonkey.

É possível que você também encontre programas que usam OpenSSL no Windows (ssleay32.dll é uma oferta) - eles normalmente usam o "pacote de certificados cURL", que é realmente apenas a lista de CAs da Mozilla reempacotada como um único pacote curl-ca-bundle. arquivo crt . Se o programa for um pouco antigo, talvez seja necessário baixar uma nova versão deste arquivo e colocá-lo no lugar certo.

Mas se esses programas usarem uma versão OpenSSL muito antiga, ou se eles não habilitarem o recurso "cadeia alternativa" que está no OpenSSL 1.1.x, eles ainda terão problemas com sites usando a cadeia de assinatura cruzada DST - as únicas soluções alternativas são para obter uma versão atualizada desse aplicativo ou esperar (a cadeia de horário de verão acabará, afinal, fora de uso).