Názor ke zprávičce Vypršel kořenový certifikát DST Root CA používaný autoritou Let's Encrypt od Dan Ohnesorg - Taky to takle vesmes vsude resim, ono to...

Taky to takle vesmes vsude resim, ono to totiz nema dobre reseni, jsou dve moznosti:

Nechat tam expirovany koren v ceste - pak udajne dobre funguji weby pro stare androidy, kde se vyuziva chyby ve validaci - android duveruje nespravne expirovanym CA certifikatum, ktere ma "vypalene" v ROM. Ale nedostanou se tam lidi co maji v systemu novy X1 koren, ale maji stare openssl, ktere chce mit vsechny validacni cesty v poradku.

Druha moznost, vygenerovat certifikat s cestou jen k novemu koreni. Tohle dobre chodi s tim starym openssl, ktere certifikat zvaliduje proti nove CA, ktera se vyskytuje vsude mozne. Ale odrizne to vsechny stare androidy. Zrejme to odrizne i lidi s windows 7, ale to je asi jedno, protoze windows 7 validuji certifikaty spravne a expirovane korenove CA neveri tak jako tak.