让我们加密 (由社区控制的非营利认证机构,向所有人提供免费证书) 宣布了下一个转换以生成签名 仅使用您的根证书,而不使用由IdenTrust证书颁发机构交叉签名的证书。
让我们加密根证书 它与所有现代浏览器兼容,但仅在7.1.1年末发布的Android 2016中被认可。
问题是,根据可用的统计数据, 所有Android设备中只有66,2%使用Android 7.1及更高版本.
因此,使用中的33,8%的Android设备在“让我们加密”根证书中没有数据,并且一旦交叉签名证书过期,尝试在这些设备上使用“让我们加密”证书打开站点时将显示错误。 。
对于大型网站,不接受Let's Encrypt根证书的Android用户所占百分比估计为观众的1-5%。
让我们加密无意达成新的交叉签名协议, 因为这给协议的各方带来了极大的额外责任,剥夺了他们的独立性,并束缚了他们遵守另一认证机构的所有程序和规则的责任。
而且l更新旧版Android设备的问题 它可能不会消失,并且必须一次又一次地更新交叉协议。
自11年2021月XNUMX日起,我们将对Let's Encrypt API进行更改 默认情况下,ACME客户将获得ISRG Root X1证书而无需交叉签名。
担心兼容性的用户将有机会请求使用旧的交叉验证方案进行身份验证的备用证书,但是此类证书将继续受到交叉签名的根证书的生存期的限制(1年2021月XNUMX日)。
作为解决方案, 建议较早的Android设备用户切换到Firefox浏览器, 具有自己的更新的根证书存储。
但是Firefox不支持Android 4.x(约占活跃Android设备的2%),并且只能在Android 5.0或更高版本上运行。
建议不愿接受与旧版Android手机失去兼容性的网站所有者,请通过HTTP处理来自旧版Android设备的请求,或切换到与旧版Android兼容的CA。
以下是“加密”的宣布方式:
“我们信任引导的DST Root X3根证书将在1年2021月XNUMX日到期。幸运的是,我们准备站起来,完全依靠我们自己的根证书。”
但是,对Let's Encrypt证书本身进行的完全更改不会没有后果。
“自2016年以来一直未进行更新的某些软件(大约在许多根程序接受我们的根时),仍然不信任我们的根证书ISRG Root X1,” Jacob Hoffman-Andrews(Let's Encrypt的高级开发人员和Google的高级技术人员)解释道。电子前沿基金会)中的通知。
“这特别包括7.1.1之前的Android版本。 这意味着这些旧版本的Android将不再信任Let's Encrypt颁发的证书。
“对于Android手机上的内置浏览器,受信任的根证书列表来自操作系统,而在这些旧手机上已不再使用。 但是,Firefox当前在浏览器中是唯一的:它带有自己的受信任的根证书列表。 因此,根据Hoffman-Andrews的说法,安装最新版本Firefox的任何人都将从受信任的证书颁发机构的最新列表中受益,即使其操作系统已过期也是如此。
该通知还针对某些网站所有者,这些网站所有者收到了用户的投诉,以便他们为更改做准备。 让我们加密鼓励他们实施临时解决方案(切换到备用证书链),以在评估长期解决方案的需求时保持其站点正常运行。
数据来源: https://letsencrypt.org