losssless писал(а):  |
Вопрос, кто должен обновить сертификат? |
Вы на своём устройстве.
Это касается не только работы nnmclub, а вообще многих других сайтов.Подробнее об этом событии в новостях:
https://habr.com/ru/post/580092/https://www.opennet.ru/opennews/art.shtml?num=55875https://3dnews.ru/1050088/и т.д.
Нужно использовать современную операционную систему, чтобы в будущем не испытывать подобные проблемы,
причем нужно регулярно обновлять её. Но если вынуждены использовать устаревшую ОС, и если отказались от обновлений, то сейчас нужно вручную скачать не кросс-подписанный корневой сертификат "ISRG Root X1"
https://crt.sh/?d=9314791 и добавить его в хранилище доверенных корневых центров сертификации.
Для
WindowsВыполнить команду
mmc, чтобы запустить консоль управления (MMC).
Там в меню "Файл" выбрать "Добавить или удалить оснастку...", промотать список немного вниз и выбрать в писке "Сертификаты") и т.д., лучше для учетной записи всего компьютера, а не текущего пользователя, если пользователей уже несколько или ожидается добавление новых.
В контекстном меню добавленной оснастки импортировать
Войдите в группу «Сторонние корневые центры сертификации» -> «Сертификаты», там правой клавишей мыши в контекстном меню «Все задачи» -> «Импорт...» и выберите на диске нужный файл сертификата. После этого он будет добавлен в сторонние корневые и в доверенные корневые.
Для
Linux (Debian/Ubuntu)
https://habr.com/ru/post/580092/#Add_ISRD_Root_X1Для
iOS (iPhone и iPad с ОС до 10 версии)Скачайте файл сертификата ISRG Root X1 на устройство.
Перейдите в «Настройки» -> «Основные» -> «Профили и управление устройством» выберите сертификат ISRG Root X1 и нажмите «Установить».
В Настройки» -> «Основные» -> «Доверие сертификатов» включите «Доверять корневым сертификатам полностью».
Для
AndroidУстройства с версиями ОС Android до 7.1.1 также не поддерживают корневой сертификат ISRG Root X1.
Однако, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
Добавлено спустя 1 час 19 минут 53 секунды:Мы рассматриваем вопрос замены сертификата на сервере, который может быть заверен обособленным корневым сертификатом SRG Root X1, не имеющим кросс-подписи. Let's Encrypt предоставляет в качестве опции возможность запросить такой сертификат.
Это должно помочь владельцам старых необновленных операционных систем, которые не понимают причину проблемы и не в состоянии решить её самостоятельно, но приведёт к потере совместимости со старыми Android-клиентами.
Каких версий это коснется я не знаю, 7.x и старше, или 5.x и старше, или только 2.x, может быть ситуацию смогут прояснить люди, разбирающиеся лучше в проблемах Android.
Добавлено спустя несколько часов: | ! | | google писал(а): | Чтобы обойти проблему, мы перешли с Let's Encrypt на ZeroSSL - там используются другая цепочка, с которой сейчас проблем не наблюдается. Для обеспечения совместимости со старыми системами вернули RSA вместо EC. Пользователи Windows XP могут импортировать в свою систему корневой сертификат UserTRUST RSA CA. На старых системах может помочь использование Firefox 52.9.0esr - он всё ещё работает на Windows XP, и в нём используется собственная реализация TLS (libnss) вместо системной со своим хранилищем сертификатов CA. |
Ссылка на закачку *.crt -файла этого "UserTRUST RSA CA" сертификата -> https://crt.sh/?d=1199354 |
Обновляйтесь