❢ Проблемы с доступом к медиаресурсам на сайте (решено)

Сегодня, 30 сентября 2021 года, обнаружилась проблема, которая расползается по Сети и затрагивает все большее количество устройств и пользователей. У пользователей пропадает доступ к ресурсам, расположенным на одном из наших серверов — files.le-francais.ru. Выглядит это так, что не проигрывается аудио, не отдаются конспекты и прочие медиаресурсы. Коснулось это вас или еще нет, вероятно, зависит от провайдера (или от устройства/браузера, или от часового пояса — пока мы не понимаем деталей).

Причина этого явления — истекающий сегодня срок сертификата безопасности, самого верхнего в цепочке сертификатов. Он действовал 20 лет, и срок его окончания — сегодня.

Истекший сертификат

Формально этот корневой сертификат еще действует. Поэтому попытка перевыпустить наш сертификат ничего не дает. Но некоторые браузеры начинают блокировать доступ к ресурсам. Мы пока не понимаем, почему такая выборочность.

На наших компьютерах пока всё пока работает.

Valid certificate

Я буду апдейтить этот пост или писать новые, как только у нас появится новая информация. Мы активно занимаемся решением этой проблемы.

Есть объяснение, опубликованное организацией, подписавшей наш корневой сертификат (на английском языке). Сейчас я постараюсь изложить его доступным языком и выложу список платформ, на которых могут быть проблемы с доступом.

В двух словах. Старый корневой сертификат удостоверяющего центра (DST Root CA X3), в котором подписан наш корневой сертификат, истекает сегодня. Чтобы не произошло сбоя в работе подписанных этим сертификатом серверов, удостоверяющий центр позже выпустил новый сертификат (ISRG Root X1) и подписал его старым сертификатом — поэтому до сегодняшнего дня подписанным таким образом сертификатам доверяли все устройства — и старые, и новые. Но некоторые старые устройства никогда не будут доверять новому сертификату (и как следствие, всем другим сертификатом, им подписанным — типа нашего), потому что они не получают обновлений программного обеспечения (например, iPhone 4 или HTC Dream).

Вот список платформ, на которых, по их заявлению, не должно быть проблем с доступом.

  • Windows >= XP SP3 (при условии, что не заблокирован Automatic Root Certificate Update)
  • macOS >= 10.12.1
  • iOS >= 10
  • iPhone 5 и более позднии модели могут проапдейтиться до iOS 10 и таким образом доверять ISRG Root X1
  • Android >= 7.1.1 (но Android >= 2.3.6 будет работать по умолчаню вследствие этой кросс-подписи одного корневого сертификата другим)
  • Mozilla Firefox >= 50.0
  • Ubuntu >= xenial / 16.04 (если накатить апдейты)
  • Debian >= jessie / 8 (если накатить апдейты)
  • Java 8 >= 8u141
  • Java 7 >= 7u151
  • NSS >= 3.26

Мы уже видим, что это не так. Например, в третьей строчке написано, что на iOS старше девятой версии всё должно работать. Но на планшете с iOS 14 точно НЕ работает.

Мы думаем, как решить эту проблему. К сожалению, не может идти и речи, чтобы получать платный сертификат. Мы ищем альтернативы.

UPD: Там надо еще отметить одну деталь. Браузеры (Chrome, Safari, Edge, Opera) обычно доверяют тем же сертификатам, что и операционная система, на которой они работают — за исключением Firefox — он имеет свое собственное корневое хранилище (root store). И у Хрома скоро будет тоже свое.

Мы временно (на 90 дней) переподписали наш сертификат в другом удостоверяющем центре (ZeroSSL).

Новый сертификат

По логике, должно теперь всё заработать. Нам не проверить. На планшете, где прежде не открывалось, теперь открывается.

UPD: На iPhone 4 запустилось тоже. Значит теперь все работает.

Осталась одна загадка. Основной сайт (который www) нам подписывает сервер приложений Heroku. И он тоже подписывает его сертификатом того же удостоверяющего центра Let’s Encrypt. То естm «какбэ» не было разницы между серверами www и files (на уровне нашего понимания). Но почему-то files.le-francais.ru с медиа-файлами перестал работать, а www.le-francais.ru — продолжал. Загадка.

UPD2: Новый сертификат действует до 30 декабря этого года. Мы постараемся не пропустить этот момент и перевыпустить его или решить эту проблему как-то иначе. Но если вы вдруг вспомните, не поленитесь лишний раз нам напомнить. Мало ли. ;)

Скрок действия сертификата

ILYA DUMOV: Основной сайт (который www) нам подписывает сервер приложений Heroku. И он тоже подписывает его сертификатом того же удостоверяющего центра Let’s Encrypt. [. . .] Но почему-то files.le-francais.ru с медиа-файлами перестал работать, а www.le-francais.ru — продолжал.

Мы боимся, что это «продолжал» — тоже временное явление. И не исключаем, что на старых устройствах основной сайт тоже может перестать открываться. Попробуем его тоже переподписать.

норм, заработало👏🏻

ILYA DUMOV: и перевыпустить его или решить эту проблему как-то иначе.

Некоторые CA дарят сертификаты-пробники на 90 дней только один раз на домен, и это минус.
Но таких CA - несколько, и это плюс. (Прям как в том анекдоте про неурожай)

Так год продержаться можно. Ну а когда будет урожай, то будет проще купить и не заморачиваться.

Alex784: Некоторые CA дарят сертификаты-пробники на 90 дней только один раз на домен

Да, этот сертификат от ZeroSSL такой и есть, после трех месяцев — только за деньги. С другой стороны, похоже, что наш Let’s Encrypt таки обновил свой корневой сертификат. И в цепочке сертификатов на основном сайте (который www и который нам подписывает сервер приложений HEROKU) — все работает. Причем браузер локально пишет, что сертификат экспайрится сегодня (кэширует?), а SSL-чекеры показывают, что у этого сертификата срок действия до 2024 года.

UPD:

Похоже, все таки, что те, кто говорят, что всё ок, они не показывают второй корневой сертификат. Из-за того, что оба сертификата корневые и кросс-подписаны, формально все выглядит ок. НО для старых устройств таки не ок.

Цепочка сертификатов

UPD2:

«Правильные», честные чекеры показывают, что таки проблемы есть. А значит, основной сайт в полночь для старых платформ превратится в тыкву. :((

Честная цепочка сертификатов

ILYA DUMOV: а SSL-чекеры показывают, что у этого сертификата срок действия до 2024 года

А подписать с нормальными CA, типа Comodo и иже с ними новый бесплатный сертификат, хотя бы пока всё утрясётся — не судьба ?

Просто показалось несколько любопытным что этот Let’s Encrypt говорит что IBM у него — спонсор, а сайт IBM подписан с DigiCert (взял наугад, остальные не смотрел)… Я всё конечно понимаю (во Франции те, кто дают денег на Restos du Cœur, точно там не ужинают), что это народный (не зелёный) CA и всё такое, но тогда тут жаловаться бесполезно, ибо you get what you pay for, без насмешек.

Alex784: А подписать с нормальными CA, типа Comodo и иже с ними новый бесплатный сертификат, хотя бы пока всё утрясётся — не судьба ?

Я же написал выше, что мы сразу именно так и сделали, поэтому всё и заработало. И теперь у нас есть время, чтобы без суеты разобраться с этим.

В сухом остатке.

Вся эта проблема, на самом деле, распадается на две. Одна — это та, которая в подробности описана выше, то есть истечение срока действия сертификата удостоверяющего центра, выпущенного 20 лет назад. Но сама эта проблема, по большому счету, безнадежна только для пользователей iPhone 4 и ниже — все остальные платформы так или иначе ее проходят. И скорее всего, никто бы сегодня этого не заметил. Если бы…

Если бы не вторая проблема — ошибка в цепочке сертификатов, выдаваемых скриптом на сервере одного из наших провайдеров, у которого мы покупаем (в том числе) эту услугу. Именно из-за этой ошибки проблемы возникли не только у пользователей iPhone 4, но и у владельцев более свежих моделей. И это же объясняет, почему сайт www.le-francais.ru продолжал работать, а сервер files.le-francais.ru — нет. Потому что другой наш провайдер подписывал сертификаты без ошибок.

Да, с завтрашнего дня у пользователей iPhine 4 будут проблемы при заходе на наш сайт. Мы насчитали несколько человек из 70,000 посетителей сайта за сентябрь. Но они же столкнутся с подобными проблемами и на огромном множестве других сайтов, чьи сертификаты подписаны тем же удостоверяющим центром. Тем не менее, мы постараемся что-то сделать, чтобы и у них проблем не возникло.

На сегодня проблема закрыта.

Я к тому что поскольку подпись правильных CA прошита в самих сырцах старых браузеров и их список уже загружен, проблем у старого железа с такими цепочками нет, чего не скажешь о тех, которыми пользуетесь Вы, о которых я до сегодняшнего дня ни разу не слышал.

Такой феномен – вовсе не новый и называется des économies de bouts de chandelle. Сколько мужиков покупают автохлам и тратят своё время и зарплату чтобы с ним копошиться и в итоге получается что получается вместо того чтобы сразу купить правильный продукт или услугу ?

Во Франции даже есть сайт Jacky Touch, посвящённый таким горе-тюнерам.

Alex784: тех, которыми пользуетесь Вы, о которых я до сегодняшнего дня ни разу не слышал.

Как сказала героиня одной пьесы, если к Вам не прижимаются в метро, то это вовсе не означает, что метро в Париже не существует.

Просто для сведения: в мире 250,000,000 сайтов подписано их сертификатом. Это четверть миллиарда, если что. Ещё раз: четверть миллиарда. Поэтому Вашу неосведомлённость, по-видимому, придется объяснять чем-то другим, но только не их “неправильностью”.

Я достаточно подробно в этой ветке описал проблему — она заключалась в том, что у одного из наших провайдеров был скрипт, который подписывал с ошибкой — и отсутствие доступа было из-за этого, а не из-за чего-то другого. Наш www сайт подписан Heroku, одним из лидеров на рынке серверов приложений. И они тоже подписывают нас сертификатом того же удостоверяющего центра. И как все могли заметить, сам сайт работал без перебоев. Потрудитесь, пожалуйста, читать внимательно, что я пишу. А так же обратите внимание на то, что я написал: эта проблема — закрыта. И этот факт вынесен даже в заголовок топика. Поэтому свое ехидство под занавес ради самого ехидства оставьте при себе — я прекрасно обойдусь без Ваших “комментариев”.

Тема закрыта.

 
Зарегистрируйтесь или войдите чтобы оставить сообщение.