Khắc phục SSL Let’s Encrypt lỗi sau ngày 30.09.2021

Từ ngày 01/10/2021, Let’s Encrypt thay đổi SSL root mới, từ DST Root CA X3 sang ISRG Root X1. SSL root cũ sẽ hết hạn. Việc này ảnh hưởng đến cả máy chủ hosting và máy tính người truy cập, cũng như các thiết bị di động.

Hiện tượng SSL Letsencrypt lỗi

Khi truy cập các website có sử dụng SSL Let’s Encrypt, ví dụ như https://letsencrypt.org/ hoặc website của bạn mà có dùng SSL Let’s Encrypt, bạn gặp thông báo lỗi kết nối không an toàn, không riêng tư. Nếu trình duyệt có chế độ bảo mật cao, bạn có thể không truy cập được tiếp. Hoặc có thể cần phải chấp nhận rủi ro khi tiếp tục truy cập.

Lý do

Sau ngày 30.09.2021, root cũ của các chứng chỉ số phát hành bởi dự án Let’s Encrypt sẽ hết hạn. SSL root DST Root X3 này được thay thế bằng ISRG Root X1.

Các máy chủ hosting tại VietNAP đều đã cập nhật SSL root mới, không ảnh hưởng đến quá trình truy cập của người dùng.

Cách khắc phục SSL Letsencrypt lỗi do root hết hạn sau ngày 30.09.2021

Với máy tính Windows

Với đa số các máy tính mới, hệ thống sẽ tự động cập nhật. Tuy nhiên, một số máy tính dùng hệ điều hành Windows cũ, khi gặp thông báo kết nối không riêng tư này, người dùng có thể thực hiện các bước sau:

  1. Clear cache ở browser đang sử dụng.
  2. Truy cập trang https://valid-isrgrootx1.letsencrypt.org/ và chấp nhận SSL mới, nếu có thông báo cập nhật. Khi gặp thông báo lỗi kết nối không riêng tư, đó là bình thường, vì hệ thống chưa cập nhật SSL root mới. Có thể thực hiện tiếp bước 3.
  3. Khởi động lại browser xem còn bị báo lỗi khi vào các trang web trước không.

Nếu sau khi thực hiện ba bước trên mà vẫn gặp lỗi, người dùng có thể cần xóa bỏ SSL root cũ thủ công, và thực hiện lại các bước trên. Cách xóa bỏ như sau:

  1. Vào ô search trên thanh Start-bar.
  2. Điền tên file certmgr.msc và chạy chương trình. Lưu ý phải đánh đủ tên file. Nếu chỉ là certmgr, Windows có thể không tìm.
  3. Trong mục Trusted Root Certification Authorities, mở Certificates, tìm đến DST Root CA X3. Có thể double-click vào đó, để xem chính xác thông tin có phải bị hết hạn từ 30.09.2021 không.
  4. Xóa DST Root CA X3 đi, đóng chương trình lại.
  5. Thực hiện lại ba bước ở trên để chấp nhận SSL root mới.
ssl letsencrypt lỗi hết hạn sau ngày 30.09.2021

Với các thiết bị di động

Người dùng có thể khởi động lại. Thiết bị sẽ tự cập nhật được SSL root mới.

Với máy Mac

Đã có một số ghi nhận về máy Mac cũng gặp lỗi, nhưng với chỉ các máy dùng phiên bản MacOS không cập nhật. Với các trường hợp này, người dùng nên cập nhật lên bản MacOS mới nhất. Máy tính sẽ tự khởi động lại để hoàn tất quá trình cập nhật, và sẽ khắc phục lỗi hết hạn này.

Let’s Encrypt SSL là gì?

Đây là một chứng chỉ số được cung cấp miễn phí bởi dự án Let’s Encrypt, được tài trợ bởi các tập đoàn công nghệ lớn trên thế giới. Khi mới được bắt đầu, có nhiều hoài nghi về dự án này. Nhưng càng ngày, càng có nhiều người sử dụng, cũng như nhiều phần mềm hỗ trợ hơn. Ban đầu, Let’s Encrypt chỉ cung cấp chứng chỉ số SSL cho một tên miền đơn lẻ. Hiện giờ, bạn có thể đăng ký cả SSL wildcard với Let’s Encrypt.

Các máy chủ hosting tại VietNAP đều có hỗ trợ cài đặt Let’s Encrypt SSL miễn phí. Bạn có thể xem hướng dẫn cách cài đặt tại đây và tự thực hiện bất kỳ lúc nào.

Với các máy chủ Linux không dùng bảng điều khiển nào, có thể sử dụng Certbot để cài đặt.

Lưu ý rằng, chứng chỉ số Let’s Encrypt chỉ có thời hạn sử dụng trong vòng 60 – 90 ngày. Nếu bạn có kế hoạch sử dụng chứng chỉ số với thời gian lâu hơn, bạn nên có phương thức tự động hóa việc gia hạn, hoặc đăng ký mua chứng chỉ số của các hãng khác như Sectigo, RapidSSL. Tham khảo thêm tại đây.