Хочу поделиться информацией о потенциальной проблеме, с которой могут столкнуться владельцы веб-серверов на Centos 7, использующие бесплатные SSL/TLS сертификаты Let’s Encrypt.
В чём суть проблемы?
Centos 7 использует устаревшие пакеты, которые не обновляются. Это приводит к тому, что версия OpenSSL, используемая в этой системе, несовместима с новой цепочкой корневых сертификатов Let’s Encrypt.
Почему это важно?
Let’s Encrypt использует цепочку корневых сертификатов с парой, срок действия которых истекает 30 сентября 2024 года. После этой даты браузеры и другие устройства, не поддерживающие новую цепочку, не смогут establish secure connections with servers using Let’s Encrypt certificates.
Как это произошло?
Проект Let’s Encrypt был запущен в 2015 году. Для initial trust уже существующих устройств и систем использовался cross-sign с одним из корневых сертификатов.
В чем проблема?
Cross-sign манипуляции не поддерживаются всеми версиями OpenSSL. Centos 7 использует OpenSSL 1.0.2, которая не может корректно распознать новую цепочку сертификатов.
Что делать?
Обновление OpenSSL до более свежей версии может решить проблему, но это может привести к breaking compatibility with many applications.
Варианты решения:
- Обновить Centos 7 до более новой версии.
- Использовать альтернативный SSL/TLS provider.
- Применить временные решения, такие как установка патчей.
Рекомендации:
- Будьте в курсе возможных проблем.
- Продумайте действия, которые вам необходимо будет предпринять на своих Centos 7 серверах до сентября 2024 года.
- Следите за обновлениями и информацией на сайтах Let’s Encrypt и Centos.
Важно:
Не игнорируйте эту проблему, так как она может привести к тому, что ваш веб-сервер станет недоступным для пользователей.
Дополнительные ресурсы:
- Let’s Encrypt: https://letsencrypt.org/
- Centos: https://www.centos.org/
- OpenSSL: https://www.openssl.org/
P.S.:
Я буду рад ответить на ваши вопросы в комментариях.