Delysid #:Ну всё понятно с вами.. Непонимаете что пишете. Пошли бы и проверили..
Ага. 17 сентября сертификат получал на CF Issuer:CN = R3O = Let's Encrypt
Хотя ещё 3 августа выдавали:CN = Cloudflare Inc ECC CA-3O = "Cloudflare, Inc."
CF - использует сертификаты Comodo.
И чего то не припомню, чтобы CF когда-нибудь сертификаты Comodo выпускал. Да, и как несколько лет Comodo вообще сертификаты не выпускает. Вы с какой луны прилетели? 😀
Надо посмотреть какими сертификатами их подписывают (выпускают) и даты их экспаринга по цепочке до корневых (доверенных). Но рано или поздно без обновлений все корневые сертификаты когда-то проэкспарятся.
Бесплатные тариф на CF и платные сертификаты? 😀 Это вы все так шутите?!
И прежде чем писать про вранье проверили бы для начала, какие сертификаты сейчас выдает LE на бесплатных тарифах.
Всё будет зависеть только от клиента и его доверенных сертификатов. Заставить установить/обновить на клиенте в трасте корневой сертификат невозможно, он должен это сделать сам. Подсовывать промежуточные, на которые у клиента нет в трасте корневых тоже бессмысленно.
LE удалось договориться и выпустить промежуточный сертификат ISRG Root X1 (и они его добавляют в цепочку сертификатов), подписанный DST Root CA X3. В основном это сделано для старых Андроидов, на которых есть в трасте проэкспаренный DST Root CA X3. А в силу особенности Андроидов по умолчанию даже проэкспаренные сертификаты в трасте продолжают действовать.
А причём тут WinXP? На обновленных WinXP стоит корневой ISRG Root X1 в трасте и LE сертификаты там нормальна работают.
