Názory k článku Let’s Encrypt funguje v XP: věci se ale mohou rozbít

Ale to je přesně princip mezilehlého certifikátu, aby se dal snadno rychle točit. Proto ho posílá server. StartSSL nedávno točil mezilehlé dvakrát - nejdřív přešli na SHA256 a pak měnili dodatečně název mezilehlé autority, protože jinak existovaly dvě cesty (stará a nová) a prohlížeče to mátlo. Čili je to běžná věc a pokud si to slušný ACME klient pohlídá, uživatel (admin) si toho nevšimne. U jiných autorit se to řeší ručně, takže to je jen výhoda LE.

LE používám, rád; ale tomuto příliš nerozumím a nejsem z toho nadšený, již X3, časem znovu při vydávání cert. s podporou EC.
To je ale normální, a je to jeden z důvodů, proč se intermediate používají. Uživatel by měl mít mezi důvěryhodnými autoritami kořenový certifikát, a ten, kdo se následně nějakým certifikátem prokazuje (např. HTTPS server) by měl předložit celou certifikační cestu, případně s výjimkou samotného kořenového certifikátu.

To, že se mění intermediate certifikát je běžné i u ostatních certifikačních autorit. LE s aktuálně dvěma certifikáty je ještě vzor přehlednosti. Jiné autority mají několik kořenových certifikátů, intermediate certifikáty se stejným klíčem, ale podepsané různými kořenovými autoritami…

clanek omyla dokola ze je problem v XP, ale neni to zjevne uplne pravda.

ted jsem si to vyzkousel a ve firefoxu to funguje se starym cert uplne v pohode.
takze by asi bylo lepsi zminit, ze je to problem IE7, nebo kombinace XP+IE

Problém se týká všech služeb, které využívají Microsoft Cryptographic API. Firefox (a Thunderbird) je výjimka, která si nese s sebou vlastní knihovnu NSS, takže s původními certifikáty nemá problém ani ve Windows XP. Drtivá většina ostatních programů pro Windows ale používá funkce OS a tedy problémem trpí. Kromě IE například také Google Chrome.