เมื่อคืนที่ผ่านมาใบรับรอง DST Root CA X3 ของ IdenTrust หมดอายุไป ทำให้เว็บบางส่วนมีปัญหาขึ้นคำเตือนว่าใบรับรองไม่ถูกต้อง โดยสาเหตุมีได้ทั้งจากไคลเอนต์และเซิร์ฟเวอร์เอง เท่าที่ผมรวบรวมมามีสาเหตุได้ดังนี้

• ไคลเอนต์เก่าไม่รองรับใบรับรองของ Let's Encrypt: แม้ว่า Let's Encrypt จะเริ่มต้นด้วยการออกใบรับรองที่ cross-sign กับ IdenTrust ที่ไคลเอนต์จำนวนมากรองรับ แต่ก็พยายามผลักดันใบรับรอของตัวเองให้ไคลเอนต์รวมเข้าไว้ในระบบเรื่อยมา ทุกวันนี้ฐานข้อมูล root CA แทบทั้งหมดรองรับ ISRG Root X1 แทบทั้งหมดแล้ว
• ไคลเอนต์เฉพาะทาง ไม่รองรับ Let's Encrypt: มีรายงานเช่น Web Hook จากบริการต่างๆ อาจจะไม่ทำงานเนื่องจากเซิร์ฟเวอร์ไม่ได้อัพเดตฐานข้อมูล หรือไลบรารีของผู้ผลิตบางรายที่มีฐานข้อมูล
• เซิร์ฟเวอร์คอนฟิกผิด ไม่ใส่ Intermediate CA: เวลาที่ไคลเอนต์ ACME ขอใบรับรองจาก Let's Encrypt นั้นจะได้ไฟล์ออกมา 4 ไฟล์ ได้แก่ cert.pem, chain.pem, fullchain.pem, และ privkey.pem โดยท่าปกติแล้วเซิร์ฟเวอร์ควรใช้เพียงสองไฟล์ คือ fullchain.pem ที่ระบุเส้นทางอ้างอิงการรับรองกลับไปยัง ISRG Root X1 ได้ แต่หากเซิร์ฟเวอร์ใส่เพียง cert.pem ที่ไม่ระบุ Intermediate CA จะทำให้ไคลเอนต์หาเส้นทางอ้างอิงไม่เจอ

กระบวนการอัพเดตฐานข้อมูล root CA นั้นเป็นกระบวนการที่ค่อนข้างยุ่งยากเนื่องจากฐานข้อมูลมักมากับระบบปฎิบัติการหรือเฟิร์มแวร์อุปกรณ์ ที่ผ่านมา Let's Encrypt ถูกรวมเข้าฐานข้อมูลไปนวนมากแล้ว เช่น Windows XP SP3, macOS 10.12.1, iOS 10, Firefox 50, Ubuntu 16.04, Debian 8, Java 7/8 เป็นต้น

ที่มา - Let's Encrypt

เส้นทางรับรอง Let's Encrypt เส้นสีแดงคือเส้นที่หมดอายุ