em 30 de setembro de 2021 certificados ssl lets-encrypt causam problemas de acesso

O certificado raiz DST Root CA X3 expirou em 30 de setembro às 14:01:15 de 2021 GMT

30 de setembro de 2021 às 14:01:15 de 2021 GMT – houve uma mudança radical – prevista e anunciada – no modo como os navegadores e dispositivos mais antigos confiam nos certificados SSL da emitidos pela Let’s Encrypt.

Trata-se do certificado denominado IdentTrust DST Root CA X3, emitido pela organização Let’s Encrypt. Isso se torna um problema, pois muitos clientes não conseguem atualizar de forma automática a cadeia de confiança e, se isso não acontecer, não há como um novo certificado substituir o que está expirando.

Para a maioria dos dispositivos, hoje é um dia normal e essa mudança passou desapercebido pois os fornecedores de software e hardware há muito tempo atualizaram seus firmware e sistemas operacionais.

No entanto, aqueles outros dispositivos abandonados pelos seus fabricantes após o fim do seu suporte oficial e que, por isso, deixaram de receber atualizações, ficarão repentinamente sem acesso à internet isso inclui, por exemplo:

  • Sistemas integrados projetados para não serem atualizados automaticamente
  • Smartphones com versões de software antigas.
  • Versões do macOS anteriores ao macOS 10.12.1 
  • Versões do MS Windows anteriores ao Windows XP Service Pack 3 
  • PlayStations mais antigos que ainda não receberam atualizações de firmware 
  • Em geral, todo software baseado em OpenSSL 1.0.2 ou anterior 

Possíveis problemas
Segundo o portal Certify The Web, na maioria dos casos, os sistemas mudarão automaticamente para a próxima cadeia confiável que puderem encontrar, mas em alguns casos, a expiração da raiz DST Root CA X3 pode fazer com que os certificados sejam considerados não confiáveis ??ou inválidos.

Para consertar isso, os servidores precisaram migrar para uma cadeia válida.

Em outros casos, o problema pode ser com o computador ou outro dispositivo cliente.

Apache, nginx etc. têm seus próprios mecanismos de confiança.

Site para verificar se o dominio usa o certificado com a raiz antiga:

https://verify-letsencryptr3.dnsimple.tools