几周前 我们在博客上分享了让我们加密的新闻 (非营利性,社区控制的证书颁发机构,向所有人免费提供证书) 警告用户签名生成即将发生变化, 这会导致问题,最重要的是失去与约33%使用中的Android设备的兼容性。
这是因为它宣布过渡为仅使用其根证书而不使用由IdenTrust证书颁发机构交叉签名的证书来生成签名。
提到自11年2021月XNUMX日起,我们将对Let's Encrypt API进行更改 默认情况下,ACME客户将获得ISRG Root X1证书而无需交叉签名。
提到了新型的Let's Encrypt根证书可以与所有现代浏览器兼容,但是只有7.1.1年末发布的Android 2016才认可该证书(如果您想了解更多有关该新闻的信息,可以咨询出版物 在下面的链接).
但现在, 让我们加密宣布该计划已修改 而且与旧版Android设备的兼容性将至少持续三年。
API变更 计划于11月1日进行,这意味着过渡到仅由根证书ISRG Root XXNUMX认证且没有交叉签名的证书的默认发行, 已被推迟到2021年XNUMX月。
我们很高兴地宣布,我们为旧版Android设备开发了一种方法,可以在交叉签名代理到期后保留其访问使用Let's Encrypt证书的网站的功能。 我们不再计划在一月份进行任何可能导致Let's Encrypt订阅者出现兼容性问题的更改。
与此同时, 决定作为一种选择,以提供请求替代证书的可能性已根据旧的交叉验证方案进行了认证,并保持了与根证书存储中尚未添加Let's Encrypt证书的设备的兼容性。
将于2021年XNUMX月下旬或XNUMX月初生成替代证书 作为与IdenTrust认证机构达成的附加协议的一部分。 除了属于Let's Encrypt的ISRG Root X1根证书之外,还将使用IdenTrust的DST Root CA X3证书对该证书进行交叉签名。
十字签名 有效期为三年, 小于主根证书ISRG Root X1的有效期。
由于交叉签名将在使用主Let's Encrypt根证书进行签名之前过期,因此,与Sectigo证书颁发机构(Comodo)用于交叉签名证书的AddTrust根证书的事件类似的问题)。
浏览器正确处理了AddTrust交叉证书过期, 但是,即使Comodo的主根证书仍然有效,并且与当前证书的信任链仍然存在,它仍在OpenSSL和GnuTLS系统上造成了严重崩溃。
为了确保新的Let's Encrypt证书不会产生类似的兼容性问题,IdenTrust和Let's Encrypt证书颁发机构打算使用外部审核员来检查已实施的方案。
提醒一下,Let's Encrypt拥有的根证书与所有现代浏览器兼容,但仅在7.1.1年底发布的Android 2016平台上才被认可。根据现有统计,仅占66,2%所有Android设备均使用Android 7.1和更高版本。
33,8%的使用中的Android设备没有来自Let's Encrypt根证书的数据,也就是说,它们需要另外签名的证书以及与先前版本的Android兼容的根证书,才能继续正常工作。 如果您尝试在这些设备上打开仅使用“让我们加密”根证书签名的站点,将显示错误。
最后, 如果您有兴趣了解更多信息 您可以在原始说明中查看新闻的详细信息,可以在以下位置访问 以下链接。