Vlákno názorů k článku
Vypršel kořenový certifikát DST Root CA používaný autoritou Let's Encrypt od Dan Ohnesorg - V pripade dehydrated se musi do configu pridat...

V pripade dehydrated se musi do configu pridat radek

PREFERRED_CHA­IN="ISRG Root X1"

a potom to generuje certifikaty neodkazujici se na ten expirovany koren ani v alternativni ceste.

Treba www.root.cz uz posila takovy certifikat a koukal jsem, ze nepatchovany debian 7 na nej dokaze normalne pristoupit, kdezto na seznam se mu to nepodari.

Síce www.root.cz od 1.10.2021 už posiela certifikát bez odkazu na exspirovaný "DST Root CA X3", napriek tomu sa daný certifikát "ISRG Root X1" predvolene nenachádza vo Windows 7 a tak stránka nie je z daného systému dostupná (viď. https://ctrlv.sk/jVPe). Jedinou možnosťou je daný certifikát "ISRG Root X1" manuálne do systému importovať.

Včera skoro celý den víceméně nefunkční heureka.cz i na posledních W10, když se to už načetlo, tak to trvalo celou věčnost. Koukám, že ten certifikát radši převydali, aby se ten neplatný v cestě vůbec nenacházel.

Platnost od: ‎pátek ‎1. ‎října ‎2021 16:56:15

Taky to takle vesmes vsude resim, ono to totiz nema dobre reseni, jsou dve moznosti:

Nechat tam expirovany koren v ceste - pak udajne dobre funguji weby pro stare androidy, kde se vyuziva chyby ve validaci - android duveruje nespravne expirovanym CA certifikatum, ktere ma "vypalene" v ROM. Ale nedostanou se tam lidi co maji v systemu novy X1 koren, ale maji stare openssl, ktere chce mit vsechny validacni cesty v poradku.

Druha moznost, vygenerovat certifikat s cestou jen k novemu koreni. Tohle dobre chodi s tim starym openssl, ktere certifikat zvaliduje proti nove CA, ktera se vyskytuje vsude mozne. Ale odrizne to vsechny stare androidy. Zrejme to odrizne i lidi s windows 7, ale to je asi jedno, protoze windows 7 validuji certifikaty spravne a expirovane korenove CA neveri tak jako tak.