那些遇到过的问题

Windows7 上的 DST 根 CA X3 到期。我需要安装哪个更新?有解决方法吗?

jsv*_*jsv 10 windows windows-7 trusted-root-certificates

我使用的是 Windows 7 SP1,今天,即 9 月 30 日,我面临 DST 根 CA X3 证书到期的问题。

这个问题(可能会影响数百万用户)在这里得到了完美的描述:https://scotthelme.co.uk/lets-encrypt-old-root-expiration/

以防万一:按 Win+R,打开inetcpl.cpl,选择“内容”选项卡,选择“证书”按钮,选择“受信任的根证书颁发机构”选项卡,选择“DST Root CA X3”证书并查看其到期日期。在我的系统上,日期是 2021 年 9 月 30 日。

Chrome 和 Edge 无法打开大多数 https 网站。火狐浏览器运行良好。在 Win7 的另一台 PC 上,Chrome 和 Edge 仍然可以工作。我想说这很奇怪,但我怀疑他们明天就会停止工作。

根据这篇文章,通常(即,如果您安装所有更新),这会影响使用 WinXP SP2 或更早版本的用户。但由于我禁用了 Win7 的更新,我也遇到了这个问题。

我不想安装Win7的所有更新,因为我自己的经验是它经常破坏系统。顺便说一句,我什至不确定它们是否仍然可以从微软下载。因此,我只需要这个更新即可解决此 DST Root CA X3 问题。所以我的问题是我到底需要安装哪个更新?

如果有一些解决方法而不是安装更新,我们也欢迎。

use*_*686 15

“更新”只是Let\'s Encrypt 从现在起将使用的实际非交叉签名 ISRG Root X1证书颁发机构。(下载“自签名 DER”版本。)

\n

需要修复什么

\n

软件方面无需更新,因为 Windows 内置的 X.509 和 TLS 堆栈已经非常擅长处理多个验证链。(它必须能够应对广泛使用交叉签名的美国国防部联邦 PKI 。看看这张图!相比之下,AddTrust 和 ISRG 的情况相对温和。)

\n

因此,一开始,当网站仍在向您发送链时DST \xe2\x86\x92 ISRG X1 \xe2\x86\x92 LE,在您的“受信任的根证书颁发机构”\xe2\x80\x93 中安装相同 X1 根的另一个有效版本就足够了,Windows 会理解它是基本上是相同的 CA(由于具有相同的主题和公钥),并且会短路验证,完全忽略 DST。

\n

一段时间后,在网站完成自动 LE 续订(并开始发送新的直接ISRG X1 \xe2\x86\x92 LE链)后,交叉签名和备用路径将不再是问题的一部分 \xe2\x80\x93 ,此时它将只需“该网站使用了您没有的根 CA”,安装 X1 根又是解决方案。

\n

如何修复它

\n

对于大多数用户来说,一旦他们第一次访问受影响的网站,这可能会通过“自动根证书更新”功能自动发生。(例如,我刚刚启动 Windows 7 虚拟机并访问了一个此类站点 \xe2\x80\x93,而第一次访问显示过期错误,第二次则没有,并且“ISRG Root X1”出现在其 certmgr.msc 中自己的。)

\n

从 Windows 7(或 Vista?)开始,此功能不是Windows Update 的一部分(根目录是按需下载的,它们不作为标准更新包分发),但我猜您可能已禁用它以及。在这种情况下,请从 LE 网站下载 ISRG Root X1 证书,并将其手动导入到计算机范围的受信任根存储中。

\n
    \n

  • 通过图形用户界面:

    \n

    Windows“证书信息”对话框的屏幕截图,显示下载的 ISRG X1 .der 文件的内容,其中“安装证书”用红色圈出。\n“证书导入向导”第一页的屏幕截图,其中“存储位置”选项“本地计算机”用红色圈出。\n第二页的屏幕截图,其中“证书存储”字段显示“受信任的根证书颁发机构”,并用红色圈出。

    \n
    • \n

  • 通过命令行:certutil -ent -addstore Root isrgrootx1.der

    \n
    • \n
\n

这实际上不能解决什么问题

\n

请注意,Firefox 单独列出,因为它既不使用 Windows CA 存储(它具有 Mozilla CA 程序),也不使用 Windows X.509/TLS 代码(它使用 NSS 和 mozilla::pkix)\xe2\x80\x93 版本您正在使用的已经内置了 ISRG 根,独立于操作系统。Thunderbird 和 SeaMonkey 也是如此。

\n

您可能还会遇到在 Windows 上使用 OpenSSL 的程序(ssleay32.dll 是赠品)\xe2\x80\x93 他们通常使用“cURL 证书捆绑包”,这实际上只是 Mozilla 的CA 列表重新打包为单个curl-ca-bundle.crt文件。如果该程序有点旧,您可能需要下载该文件的新版本并将其放置在正确的位置。

\n

但是,如果此类程序使用非常旧的 OpenSSL 版本,或者不启用 OpenSSL 1.1.x 中的“备用链”功能,则使用 DST 交叉签名链的网站仍然会出现问题\ xe2\x80\x93 唯一的解决方法是获取该应用程序的更新版本,或者等待它结束(毕竟,DST 链最终将不再使用)。

\n

  • 命令 `certutil -ent -addstore Root isrgrootx1.der` 在 Windows 7 上不起作用(我认为它是家庭版,因为它是我会计师的笔记本电脑)。但我可以使用 UI 安装 .der 文件 (2认同)

归档时间:

查看次数:

18726 次

最近记录:

4 年 前
相关归档
什么是 Visual Studio Standard Collector 进程,为什么它使用 10GB 的 RAM? 34
如何从 QEMU 访问互联网? 8
如何强制安装 Windows 更新? 7
Windows 7 所需的蓝光光盘媒体播放器 5
默认情况下在卷之间移动文件(而不是复制) 5
使用 TeamViewer 在屏幕共享时传输音频 5
使用 Angular cli 生成时如何获取 Windows 行尾 5
安装网络驱动程序时出错 3
Windows 7 文件夹创建错误 3
您的系统管理员已设置策略来阻止此安装 1
难疑归档
如何在不终止 Windows 的情况下从 Windows 安装程序文件夹中释放驱动器空间? 442
最终阻止唤醒计时器唤醒 Windows 10 桌面 291
SCP 和 SFTP 有什么区别? 176
为什么我找不到带有多个 USB-C 端口的 USB-C 集线器? 156
如何在 Windows 7 中禁用 Aero Shake? 154
在 Windows 中禁用讲述人快捷键 134
在 Finder 中输入以打开文件 121
如何退出`sudo su`? 114
如何始终以管理员身份运行命令提示符? 110
Windows 上的双显示器 - 如何在每台显示器上设置不同的 DPI 或文本大小? 107