Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构(CA),属于非盈利性组织。它是一项由互联网安全研究小组(ISRG)提供的服务,于2016年4月12日发布。发布之初为了可快速颁发可用的证书,Let’s Encrypt使用由IdenTrust根证书交叉签名而成的DST Root X3证书,而它将于2021年到期。
一个新的证书颁发机构(CA)需要将其根证书让各操作系统和浏览器信任,才能使其颁发的证书获得支持,但是,操作系统和浏览器要花费数年的时间才能接受新的根证书,甚至需要更长的时间才能将设备升级到包含此更改的较新版本。
所以,Let’s Encrypt从IdenTrust获得了交叉签名,IdenTrust的“ DST Root X3”已经存在了很长时间,并且所有主要软件平台都已经信任它:Windows,Firefox,macOS,Android,iOS和各种Linux发行版。这让Let’s Encrypt可以立即向用户颁发广泛可用的证书,虽然Let’s Encrypt自己的根证书(“ISRG Root X1”)目前已经获得了主要软件平台的信任,但像Android 7.1.1之前的旧版本对它是不兼容的(2016年以后发布的可兼容)。
Let’s Encrypt证书目前面临的问题
原来Let’s Encrypt获得交叉签名而成的DST Root X3证书将于2021年9月到期,而自有的新的根证书(“ISRG Root X1”)证书却无法获得Android 7.1.1之前的旧版本支持,所以届时将发生使用Let’s Encrypt证书的网站或应用在一些旧的Android上无法正常运行。
目前,有66.2%的Android设备运行的是7.1.1版或更高版本,但也意味着33.8%的Android设备最终将开始出现证书错误。(用户数据截止到2020年9月)
可悲的是,Android因为大家众所周知的碎片化原因,在DST Root X3到期之前Android版本的使用率不会发生太大变化,这一点相对封闭的IOS系统是有版本更新优势的。
Android旧设备的用户怎么办?
截止到2020年2月27日Let’s Encrypt颁发的证书已超过10亿,如果是使用Android 7.1.1之前的旧版本的用户,可以安装Firefox浏览器,它支持Android 5.0及以上版本。因为对于Android手机的内置浏览器,受信任的根证书列表来自操作系统,但是,Firefox当前在浏览器中是唯一附带了自己的受信任的根证书列表的。因此,使用最新版本Firefox的用户不会受此问题影响。
部署Let’s Encrypt证书的网站或开发者怎么办?
首先应该分析一下您的网站或应用的受众群体,到底会有多少用户受此影响。以站长帮今年的访问数据来看,截止到发稿时间,所有的浏览者中Android用户占比20.6%,其中Android 7.x 用户占比0.64%,而低于Android 7版本的用户总数量占比2.79%,也就是说,最多有3.43%的浏览者会受此影响,而到2021年9月份,这部分数量会更少,所以站长帮决定不更改Let’s Encrypt证书。
不同类型的网站或应用,受众群体是不一致的,例如:一些面向老年人或四五线城市用户较多的网站或应用面临影响的用户数量会相对较多,对于这部分开发者还是建议暂时更换其它证书。
站长帮近期推出了一项SSL证书代购服务,选用的是业内知名的Comodo SSL证书,包含单域名证书、多域名证书以及通配符证书,价格非常优惠,如有需要,欢迎选购。
原文地址:https://www.zhanzhangb.com/1509.html