Let’s Encrypt efecto 30 septiembre 2021: certificado ROOT

Desde el pasado 30 de Septiembre de 2021, parece que existen algunos problemas con el certificado ROOT de Let’s Encrypt. Equipos o navegadores antiguos pueden presentar problemas de acceso, indicando que el certificado no es válido. Esto se debe a que Let’s Encrypt en el chain incluye el certificado DST Root Ca X3 que precisamente caducaba el 30 de septiembre del año 2021, este certificado se ha sustituido por otro ROOT más moderno que es el ISRG Root X1, sin embargo algunos equipos no lo reconocen y van primero a verificar con el otro.

La solución planteada por Let’s Encrypt es incluir el parámetro

–preferred-chain «ISRG Root X1»

para indicar que es le nuevo el que tiene prioridad, así la linea de comando sería como sigue:

certbot certonly –[apache|nginx] -d [dominio] -d [dominio] –preferred-chain «ISRG Root X1»

Si tenemos una versión antigua de certbot vamos a necesitar instalar la última versión, para ello necesitaremos snap. Así para instalar la última versión de certbot si ya tenemos una antigua instalada sería esta (para debian / Ubuntu):

apt update
apt install snapd
snap install core
snap refresh core
apt-get remove certbot
snap install –classic certbot
ln -s /snap/bin/certbot /usr/bin/certbot

y después de esto iríamos ejecutando la renovación de cada certificado con la línea anterior.