幾週前 我們在博客上分享了讓我們加密的新聞 (非營利性,社區控制的證書頒發機構,向所有人免費提供證書) 警告用戶簽名生成即將發生變化, 這會導致問題,尤其是與約33%使用中的Android設備的兼容性喪失。
這是因為它宣傳了僅使用其根證書而不使用IdenTrust證書頒發機構交叉簽名的證書來生成簽名的過渡。
提到自11年2021月XNUMX日起,將對Let's Encrypt API進行更改 默認情況下,ACME客戶將獲得ISRG Root X1證書而無需交叉簽名。
提到了新型的Let's Encrypt根證書可以與所有現代瀏覽器兼容,但只有7.1.1年末發布的Android 2016才認可該證書(如果您想了解更多有關該新聞的信息,可以諮詢出版物 在下面的鏈接).
但是現在 讓我們加密宣布該計劃已修改 而且與舊版Android設備的兼容性將至少持續三年。
API變更 計劃於11月1日進行,這意味著過渡到僅由根證書ISRG Root XXNUMX認證且沒有交叉簽名的證書的默認發行, 已被推遲到2021年XNUMX月。
我們很高興地宣布,我們為舊版Android設備開發了一種方法,可以在交叉簽名代理到期後保留其訪問使用Let's Encrypt證書的網站的功能。 我們不再計劃在一月份進行任何可能導致Let's Encrypt訂閱者出現兼容性問題的更改。
同時 決定作為一種選擇,以提供請求替代證書的可能性已根據舊的交叉驗證方案進行了認證,並保持了與根證書存儲中尚未添加Let's Encrypt證書的設備的兼容性。
替代證書將在2021年XNUMX月下旬或XNUMX月初生成 作為與IdenTrust認證機構達成的附加協議的一部分。 除了屬於Let's Encrypt的ISRG Root X1根證書之外,還將使用IdenTrust的DST Root CA X3證書對該證書進行交叉簽名。
十字簽名 有效期為三年, 小於主根證書ISRG Root X1的有效期。
由於交叉簽名將在使用主Let's Encrypt根證書進行簽名之前過期,因此可能發生與用於Sectigo證書頒發機構的證書的交叉簽名的AddTrust根證書過期的事件類似的問題(Comodo )。
瀏覽器正確處理了AddTrust交叉證書過期, 但是,即使Comodo的主根證書仍然有效,並且與當前證書的信任鏈仍然存在,它仍在OpenSSL和GnuTLS系統上造成了嚴重崩潰。
為了確保新的Let's Encrypt證書不會產生類似的兼容性問題,IdenTrust和Let's Encrypt證書頒發機構打算使用外部審核員來檢查已實施的方案。
提醒一下,Let's Encrypt擁有的根證書與所有現代瀏覽器兼容,但僅在7.1.1年底發布的Android 2016平台上才被認可。根據現有統計,僅佔66,2%所有Android設備均使用Android 7.1和更高版本。
33,8%的使用中的Android設備沒有來自Let's Encrypt根證書的數據,也就是說,它們需要另外簽名的證書以及與以前的Android版本兼容的根證書,才能繼續正常工作。 如果您嘗試在這些設備上打開僅使用“讓我們加密”根證書籤名的站點,將顯示錯誤。
最後, 如果您有興趣了解更多信息 您可以在原始說明中查看新聞的詳細信息,可以在以下位置訪問 以下鏈接。