Hàng loạt thiết bị và website gặp sự cố truy cập do lỗi SSL Let’s Encrypt - Nguyên nhân và cách khắc phục

Security

Giang

1230

22-10-2021

Vào ngày 30/9/2021 vừa qua, chứng chỉ gốc DST Root CA X3 của Let’s Encrypt bị hết hạn và phải thay bằng chứng chỉ mới. Điều này đã gây ra sự cố hàng loạt thiết bị và website gặp sự cố truy cập trên toàn cầu. Vậy làm thế nào để khắc phục lỗi kết nối này? Hãy cùng Bizfly Cloud tìm hiểu ngay trong bài viết dưới đây!

1. Nguyên nhân sự cố truy cập của hàng loạt thiết bị và trang web toàn cầu

Let's Encrypt là đơn vị cấp chứng chỉ HTTPS lớn nhất thế giới hoạt động theo hình thức phi lợi nhuận. Let's Encrypt phát hành các chứng chỉ mã hóa kết nối giữa các thiết bị điện tử và mạng internet để đảm bảo rằng không ai có thể chặn và lấy cắp dữ liệu khi dữ liệu được truyền qua lại.

Kể từ ngày 30/9/2021, chứng chỉ gốc DST Root CA X3 của Let's Encrypt sẽ hết hạn. Điều này khiến cho người dùng trên toàn cầu không thể truy cập các thiết bị và website được cấu hình bảo mật SSL Let's Encrypt với giao thức https. Nếu bạn đồng ý truy cập, bạn sẽ phải truy cập website ở giao thức không có bảo mật. Điều này sẽ ảnh hưởng đến sự bảo mật an toàn khi duyệt web. Nguyên nhân do SSL của Let's Encrypt cung cấp chứng chỉ gốc DST Root CA X3 cho người dùng có nhu cầu sử dụng miễn phí nhưng đã bị hết hạn và thay thế áp dụng bằng chứng chỉ mới. Chứng chỉ mới được áp dụng là ISRG Root X1. Các website sử dụng SSL miễn phí, thiết bị cũ và thiết bị iOS bị ảnh hưởng nhiều nhất.

Khi truy cập vào các website sử dụng chứng chỉ này, bạn sẽ nhận được thông báo “Kết nối của bạn không phải là kết nối riêng tư” như dưới đây:

Đây là lỗi khi vào các website có địa chỉ https viết tắt của Hypertext Transfer Protocol Secure - phần mở rộng của Hypertext Transfer Protocol (http). Trong https, giao thức truyền thông được mã hóa bằng Secure Sockets Layer (SSL). Nếu SSL hết hạn, không hợp lệ, hoặc không tương thích với thiết bị người dùng, việc truy cập các địa chỉ website https sẽ bị báo lỗi. Theo thông báo của công ty chủ quản Let’s Encrypt, trong hầu hết các trường hợp, hệ thống của bạn sẽ tự động chuyển sang chuỗi xác thực dựa trên chứng chỉ mới. Tuy nhiên, đôi khi chứng chỉ gốc hết hạn khiến chứng chỉ bị coi là không đáng tin cậy hoặc không hợp lệ.

Các hệ điều hành có thể bị ảnh hưởng gồm: 

• Windows XP SP3 hoặc cũ hơn 
• macOS 10.12.0 
• Ubuntu 16.4 hoặc cũ hơn 
• Debian 8 hoặc cũ hơn 
• iOS 10 hoặc cũ hơn 
• OpenSSL 1.0.2 hoặc cũ hơn 
• PlayStation 3 và PlayStation 4 chưa cập nhật firmware 
• Nintendo 3DS 
• NSS 3.26 hoặc cũ hơn 
• Java version 8 - 8u141 
• Java version 9 - 7u151

Riêng Android đã được Let's Encrypt cung cấp giải pháp gia hạn thêm 5 năm cho các hệ điều hành cũ. Tuy nhiên, những người dùng đang chạy Android 5.0 có thể xem xét cài đặt trình duyệt Mozilla Firefox để truy cập web.

2. Cách khắc phục lỗi "kết nối của bạn không phải là kết nối riêng tư" Let's Encrypt

Để khắc phục tình trạng trên, trước tiên bạn phải chắc chắn rằng website của bạn đã được cập nhật chứng chỉ SSL (Let’s Encrypt) mới nhất theo khuyến cáo của nhà phát hành Let’s Encrypt.

Đối với các thiết bị truy cập (Android, IOS,…) và các trình duyệt, phần mềm có sử dụng hoặc truy xuất thông qua SSL  cũng đều phải được cập nhật phiên bản mới nhất. 

Một số thiết bị hoặc hệ điều hành quá cũ có thể sẽ không thể truy cập được website do không có bản cập nhật phù hợp từ nhà phát hành. 

Giải pháp tốt nhất là bạn nên cân nhắc chuyển sang dịch vụ SSL có trả phí, để hạn chế tối đa trường hợp bị ảnh hưởng về thời gian hoạt động của chứng chỉ miễn phí, và không phải phụ thuộc vào chính sách liên tục thay đổi từ nhà cung cấp chứng chỉ miễn phí.

Tiếp tục truy cập nếu bạn không thấy điều bất thường

Nếu chắc chắn rằng website mà bạn đang muốn vào không có gì bất thường, bạn có thể click vào “Nâng cao”, tiếp tục truy cập trang website ở chế độ ẩn danh (như hình dưới).

Nếu bạn sử dụng trình duyệt Firefox, bạn chỉ cần cập nhật trình duyệt và sẽ có thể truy cập lại. Nguyên nhân là các trình duyệt (Chrome, Safari, Edge, Opera) thường tin tưởng các root certificates như hệ điều hành mà chúng đang chạy. Firefox là ngoại lệ: nó có kho lưu trữ root certificates của riêng mình.

Xử lý lỗi kết nối của bạn không phải là kết nối riêng tư Let's Encrypt từ máy tính người dùng

Bước 1. Tải chứng chỉ bảo mật

Truy cập vào link https://letsencrypt.org/certificates/ kéo xuống dưới tải 2 file pem như hình hoặc file https://letsencrypt.org/certs/isrgrootx1.der về máy tính của mình

Bước 2: Import chứng chỉ lên trình duyệt của mình

1. Mở trình duyệt

2. Nhấp vào Tùy chỉnh và điều khiển nút Google Chrome ở góc trên bên phải

3. Chọn Settings

4. Trong phần Privacy and security, hãy nhấp vào Security. Cuộn xuống cuối trang.

5. Nhấp vào Manage certificates, Cửa sổ mới sẽ xuất hiện

6. Chọn tab Trusted Root Certification Authorities

7. Nhấp vào Import

8. Trong cửa sổ đã mở, nhấp vào Next

9. Trong cửa sổ tiếp theo, nhấp vào Browse, cửa sổ điều hướng sẽ xuất hiện

10. Điều hướng đến thư mục lưu trữ chứng chỉ đã tải xuống

11. Chọn All Files làm loại tệp

12. Nhấp vào ca.cert.pem (isrgrootx1.cer)

13. Nhấp vào Open

14. Nhấp vào Next để thực hiện các bước sau

15. Nhấp vào Finish

16. Cảnh báo Bảo mật sẽ xuất hiện. Chỉ cần nhấp vào Có

17. Trong Trình hướng Certificate Import Wizard bấm OK

Sau đó tắt trình duyệt đi rồi và lại website kiểm tra lại.

Nếu như vì một số lý do liên quan hệ thống và bảo mật bạn không thể update các thiết bị lên phiên bản mới nhất. Bạn có thể đăng ký sử dụng SSL có phí không phải là Let’s Encrypt để khắc phục hoàn toàn lỗi này. Bạn có thể đăng ký SSL có phí và gửi yêu cầu hỗ trợ để kỹ thuật hỗ trợ cài đặt một cách nhanh chóng tương thích cho hầu hết thiết bị.

Có thể bạn quan tâm: Hướng dẫn cài đặt Let's Encrypt để tạo chứng chỉ SSL