Cертификат DST Root CA X3ment 30-09-2021

На удаленном сервере, в консоли запускаем команду

для Centos, RHEL:

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"

для Debial, Ubuntu:

awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "ISRG Root X1"

Если в полученном ответе находим следующий текст: 

subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1

То беспокоиться не о чем, проблема вас не коснется. Если ответ иной, то нужно скачать сертификат и применить изменения, для этого: 

Скачиваем сертификат

для Centos, RHEL:

сurl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | sudo tee /etc/pki/ca-trust/source/anchors/ISRG_Root_X1.crt

для Debial, Ubuntu:

curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | sudo tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt

Применяем изменения

для Centos, RHEL:

update-ca-trust extract

для Debial, Ubuntu:

update-ca-certificates

Повторяем первый пункт и проверяем, что сертификат появился. Если все получилось, то удаляем старый DST Root CA X3, чтобы сервер его не использовал.

для Centos, RHEL:

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

update-ca-trust

для Debian, Ubuntu:

sed -i 's/mozilla\/DST_Root_CA_X3.crt/!mozilla\/DST_Root_CA_X3.crt/g' /etc/ca-certificates.conf

update-ca-certificates