![Let's Encrypt logo](https://i.iinfo.cz/images/65/let-s-encrypt-logo-1.jpg)
Jak už bylo certifikační autoritou Let's Encrypt předem avizováno, 30. září 2021 ve 14:00 UTC došlo k expiraci kořenového certifikátu DST Root CA, který byl používán jako dočasný po několik let. V zásadě by nemělo dojít k potížím, protože Let's Encrypt CA používá ISRG Root X1 pro RSA nebo ISRG Root X2 pro ECDSA již mnoho měsíců.
V případě neaktualizovaného ACME klienta je možné, že vygenerovaný full chain obsahuje expirovaný kořen a tedy selže ověření certifikátu. V tom případě je nutné provést upgrade klienta, například acme.sh, použít ACME API v02, zajistit, že bude preferovaný řetězec ISRG. Ve výsledku pak celý řetězec nechat přegenerovat.
Příklad konfiguračních změn pro acme.sh – v3.0.1
.acme.sh/account.conf:
DEFAULT_ACME_SERVER=‘https://acme-v02.api.letsencrypt.org/directory’
.acme.sh/example.com/example.com.conf:
Le_API='https://acme-v02.api.letsencrypt.org/directory' Le_Preferred_Chain='__ACME_BASE64__START_SVNSRyBSb290IFgx__ACME_BASE64__END_'