Не запускается видео в браузере на Samsung Smart TV и LG

Если Вы попали на эту статью, наверняка у вас возникли проблемы с воспроизведением видео в браузерах на смарт телевизорах Samsung, LG либо других марок.

При этом «еще буквально вчера все работало», а сегодня любимый фильм или сериал на известных ресурсах уже не открывается.

Такая ситуация возникла у владельцев устаревших моделей умных телевизоров, выпущенных до 2015-2016 годов. «Какие же они устаревшие?!» — скажете вы и будете правы. Технически аппараты еще проработают с десяток лет. Проблема в программной части, а точнее в сертификатах безопасности, которые используются устройствами для работы с сайтами по протоколу HTTPS.

И так, давайте подробно разберем, что же произошло. Будет много технических терминов, но постараемся все объяснить простым человеческим языком 🙂

Для примера зайдем на сайт SmartTV.com.ua с компьютера и взглянем на сертификат, который он использует:

smarttv.com.ua ISRG root certificate

Мы увидим, что путь сертификации сайта начинается с ISRG Root X1, и поскольку система (Windows 11), с которой мы зашли на сайт доверяет этому сертификату, то проблем при просмотре сайта не наблюдается. Чего не скажешь про другие, более старые устройства и операционные системы установленные на них.

Для подтверждения откроем этот же сайт на телевизоре LG старого поколения. Мы увидим следующую картинку, которая подтверждает тот факт, что телевизор уже не распознает сертификат ISRG Root X1, как доверенный.

smarttv.com.ua_lg_certificate

30 сентября 2021 14:01:15 GMT закончился срок действия корневого сертификата IdenTrust DST Root CA X3.

После наступления этого момента ряд устаревших систем перестали доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. С учётом того, что на текущий момент Let’s Encrypt предоставляет бесплатные криптографические сертификаты примерно для 250 миллионов доменных имен, а «устаревшие системы» — это порой системы возрастом всего 5-6 лет, то окончание срока действия сертификата DST Root CA X3 не прошло незаметно.

Немного теории и истории

Не углубляясь в детали, пару слов для неспециалистов, почему окончание срока действия сертификата DST Root CA X3 повлияет на сертификаты, выпущенные Let’s Encrypt. У каждой системы, проверяющей сертификат на валидность, есть своё хранилище доверенных корневых сертификатов. Система при проверке будет доверять сертификатам, которые подписаны с использованием закрытого ключа одного из этих корневых сертификатов. Сами корневые сертификаты как правило имеют длительные сроки действия, меняются редко и не используются при формировании сертификатов конечного субъекта (в данном случае, сертификатов для доменных имен), вместо этого инфраструктура открытых ключей, предполагает использование цепочек доверия  — корневые сертификаты применяются для подписания промежуточных сертификатов, а уже с использованием них подписываются сертификаты конечного субъекта (сертификаты для доменов). При этом, для того, чтобы система доверяла конечному сертификату, она должна быть способна проследить всю цепочку от этого сертификата до одного из корневых сертификатов, которым она доверяет.

После появления проекта Let’s Encrypt, его корневой сертификат ISRG Root X1 (как и любой новый корневой сертификат) не мог быстро попасть в хранилища доверенных сертификатов заметного количества систем. При этом для успешного функционирования проекта выданным сертификатам с самого начала должно было доверять максимальное количество систем «из коробки» (без дополнительных действий со стороны пользователей этих систем). В связи с этим, для сертификатов Let’s Encrypt стала использоваться цепочка доверия, ведущая к корневому сертификату DST Root CA X3, который признается большинством систем:

  • Windows >= XP SP3
  • macOS (большинство версий)
  • iOS (большинство версий)
  • Android >= v2.3.6
  • Mozilla Firefox >= v2.0
  • Ubuntu >= precise / 12.04
  • Debian >= squeeze / 6
  • Java 8 >= 8u101
  • Java 7 >= 7u111
  • NSS >= v3.11.9
  • Amazon FireOS (Silk Browser)
  • Cyanogen > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • Blackberry >= 10.3.3
  • PS4 game console with firmware >= 5.00

К настоящему моменту корневой сертификат ISRG Root X1 существует уже более 5 лет и за это время попал в доверенные в большинстве современных систем, ему доверяют:

  • Windows >= XP SP3 (при условии, что производилось автоматическое обновление корневых сертификатов)
  • macOS >= 10.12.1
  • iOS >= 10 
  • Android >= 7.1.1 
  • Mozilla Firefox >= 50.0
  • Ubuntu >= xenial / 16.04 (с установленными обновлениями)
  • Debian >= jessie / 8 (с установленными обновлениями)
  • Java 8 >= 8u141
  • Java 7 >= 7u151
  • NSS >= 3.26

Для сертификатов Let’s Encrypt по умолчанию в данный момент предлагается такая цепочка доверия:

IdenTrust’s DST Root CA X3 -> ISRG Root X1 -> Let’s Encrypt R3 -> Конечный сертификат пользователя

Что произошло 30 сентября?

Срок действия DST Root CA X3 подошел к концу 30 сентября 2021 14:01:15 GMT, что же произошло после этого?

Те системы, которые не доверяют ISRG Root X1, перестали доверять сертификатам, выпущенным Let’s encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let’s Encrypt). За исключением Android >= v2.3.6, т.к. Android не учитывает срок действия своих доверенных корневых сертификатов.

Проблема с доверием возникла также у систем, использующих OpenSSL версии меньше 1.1.0. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1.0.x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1.0.x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.

Как обновить сертификат на телевизорах?

Самостоятельно — никак. Производители телевизоров должны выпустить обновление для устройства, которое может исправить ситуацию. Честно сказать — мы мало в это верим, но очень надеемся.

Что делать, чтобы иметь возможность просматривать видео на сайтах?

Установить специальные виджеты (приложения) на смарт тв для просмотра фильмов или сериалов с определенных сайтов. Дело в том, что приложения используют иной принцип коммуникации с сайтами, на которых расположены фильмы и сериалы, и поэтому на данный момент это единственный способ вернуть возможность просмотра кино.

Если вы не знаете как это сделать самостоятельно, обратитесь к нам и наши специалисты обязательно помогут в этом.

Источник: habr.com

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *