讓我們加密 (由社區控制的非營利性認證機構,向所有人提供免費證書) 宣布了下一個過渡以生成簽名 僅使用您的根證書,而不使用由IdenTrust證書頒發機構交叉簽名的證書。
加密根證書 它與所有現代瀏覽器兼容,但僅在7.1.1年末發布的Android 2016中被認可。
問題是,根據現有的統計數據, 所有Android設備中只有66,2%使用Android 7.1及更高版本.
因此,使用中的33,8%的Android設備在“讓我們加密”根證書中沒有數據,並且一旦交叉簽名證書過期,嘗試在這些設備上使用“讓我們加密”證書打開網站時將顯示錯誤。 。
對於大型網站,不接受Let's Encrypt根證書的Android用戶所佔百分比估計為觀眾的1-5%。
讓我們加密無意達成新的交叉簽名協議, 因為這給協議的各方帶來了巨大的額外責任,剝奪了他們的獨立性,並束縛了他們遵守另一認證機構的所有程序和規則的責任。
而且l更新舊版Android設備時出現問題 它可能不會消失,並且必須一次又一次地更新交叉協議。
從11年2021月XNUMX日開始,將對Let's Encrypt API進行更改 默認情況下,ACME客戶將獲得ISRG Root X1證書而無需交叉簽名。
擔心兼容性的用戶將有機會請求使用舊的交叉驗證方案進行身份驗證的備用證書,但是此類證書將繼續受到交叉簽名的根證書的生存期的限制(1年2021月XNUMX日)。
作為解決方案, 建議較早的Android設備用戶切換到Firefox瀏覽器, 具有自己的更新的根證書存儲。
但是Firefox不支持Android 4.x(約佔活躍Android設備的2%),並且只能在Android 5.0或更高版本上運行。
建議不願接受與舊版Android手機失去兼容性的網站所有者,請通過HTTP處理來自舊版Android設備的請求,或切換到與舊版Android兼容的CA。
以下是“加密”的宣布方式:
“我們信任引導的DST Root X3根證書將在1年2021月XNUMX日到期。幸運的是,我們準備站起來,完全依靠我們自己的根證書。”
但是,對Let's Encrypt證書本身進行的完全更改不會沒有後果。
“自2016年以來一直未進行更新的某些軟件(大約在許多根程序都接受我們的根時)仍然不信任我們的根證書ISRG Root X1,” Jacob Hoffman-Andrews(Let's Encrypt的高級開發人員和Java的高級技術人員)解釋道。電子前沿基金會)中的通知。
“這特別包括7.1.1之前的Android版本。 這意味著這些較舊的Android版本將不再信任“讓我們加密”頒發的證書。
“對於Android手機上的內置瀏覽器,受信任的根證書列表來自操作系統,而這些較舊的手機已經過時了。 但是,Firefox當前在瀏覽器中是唯一的:它帶有自己的受信任的根證書列表。 因此,根據Hoffman-Andrews的說法,即使安裝了最新版本的Firefox,任何人都可以從受信任的證書頒發機構的最新列表中受益,即使其操作系統已過期。
該通知還針對某些網站所有者,這些網站所有者收到了用戶的投訴,以便他們為更改做準備。 讓我們加密鼓勵他們實施臨時解決方案(切換到備用證書鏈),以在評估長期解決方案的需求時保持其站點正常運行。