更新:Let’s Encrypt 找到了一种解决方案,可以让 Android 设备继续兼容其证书。 您可以阅读有关扩展兼容性的信息
这里
.
自成立以来,Let’s Encrypt 已在全球签发了十亿多份免费证书。 不过,开源 CA 极大地促进了 HTTPS 的采用、 并非一帆风顺. 现在,Let’s Encrypt 证书的用户应该为另一场 “风暴 “做好准备。 从 2021 年 1 月开始,Let’s Encrypt 证书与旧设备和应用程序的兼容性将降低,用户和网站所有者都将受到影响。
罪魁祸首是即将过期的第三方根证书,Let’s Encrypt 使用该证书对其证书进行交叉比对。 新 CA 的标准做法是与现有 CA 的可信根交叉签署证书。 早在 2015 年,当 Let’s Encrypt 出现在 SSL 领域时,所有主流浏览器和操作系统都无法信任他们自己的根证书。 新的根证书需要数年时间才能通过所有安全审核和规定,因此 Let’s Encrypt 选择了IdenTrust DST Root X3证书。
通过交叉签名,Let’s Encrypt 可以立即签发有效、可信的 SSL 证书。 一切都很顺利,直到 IdenTrust 根的到期日越来越近。 它将于 2021 年 9 月 30 日到期,这给 Let’s Encrypt 及其用户带来了兼容性问题。
尽管 Let’s Encrypt 将于 2021 年 1 月 11 日开始发行与ISRG Root X1相连的根证书,但其根证书的兼容性范围与 IdenTrust 根证书不同。 遗憾的是,旧版浏览器和平台的用户在尝试访问由 Let’s Encrypt 加密的网站时,会收到 SSL 连接警告。
安卓用户–受该问题影响最大
并非每个人都会遇到兼容性降低的问题。 受影响的主要是安卓 7.1.1 或更早版本的用户。 虽然对某些人来说,这些旧版本似乎已经过时,但仍有超过 30% 的安卓设备在运行这些旧版本。 这些用户将无法访问带有 Let’s Encrypt 证书的网站。 相反,浏览器会出现令人反感的证书错误。
Let’s encrypt 面临着一个巨大的问题,但许多知名平台在发布软件更新时速度如此之慢,这并不是他们的错。 大部分问题源于手机制造商使用安卓操作系统的方式。 谷歌发布更新时,不会直接发送到所有使用该更新的设备上。
大多数情况下,制造商会忽略旧款小工具,最糟糕的情况是,旧款手机甚至无法支持最新更新。 这就是数百万安卓设备使用过时操作系统的原因,它们无法信任新的 Let’s Encrypt 根证书。
除安卓系统外,使用旧版本(1.8.0 之前)Java 的用户在访问受 Let’s Encrypt 保护的网站时也会面临兼容性问题并收到证书警告。
如何解决这个问题?
如果您是网站所有者,最快捷实用的解决方案就是转用另一个证书颁发机构。 商业 CA 的浏览器兼容性高达 99.3%,包括旧版本和服务器系统。 他们使用自己信任的树根,并使用自己的老树根进行交叉签名,以获得最佳兼容性。
CloudFlare 和亚马逊证书可能是 Let’s Encrypt 的免费替代品,但您只有在成为它们的客户后才能使用它们。 在功能方面最接近 Let’s Encrypt 的是 积极的 SSL域名验证证书 与 Let’s Encrypt 不同的是,它还包括静态网站封印和 SSL 保证。
如果不想更换 Let’s Encrypt 证书,可以警告访客即将出现的问题,并要求他们升级安卓设备。 然而,大多数用户并不精通技术,不会费尽周折访问一个网站。 您可以停止对旧版本的支持,但这同样会激怒您的用户,并让您的客户支持部门面临大量投诉。
除非 Let’s Encrypt 能在新年前提供解决方案,否则最明智的选择就是换用其他 CA。