2020 年 11 月 Let’s Encrypt 宣布將在次年更換根證書,約進這次更換根證書將導致大量用戶無法正常訪問網站,入倒究其原因主要是計時舊版重慶外圍(外圍模特)外圍女(電話微信180-4582-8235)真實上門外圍上門外圍女,快速安排30分鐘到達 Android 7.1 及以下版本已經停止支持,谷歌不再更新其證書庫,證支持因此對于新簽發的不再證書是沒法信任的。
2020 年 12 月 Let’s Encrypt 宣布問題暫時解決,統藍因為合作方 IdenTrust 已經同意再續簽三年的點網交叉驗證,也就是約進為 Let’s Encrypt 運營實體 ISRG 的證書提供交叉驗證,而 IdenTrust 的入倒證書早就內置在 Android 里了,所以可以繼續訪問。計時舊版
如今三年之約至今過半,證支持重慶外圍(外圍模特)外圍女(電話微信180-4582-8235)真實上門外圍上門外圍女,快速安排30分鐘到達Let’s Encrypt 也提前放出消息明確不會再續簽,不再這對 IdenTrust 沒什么影響,統藍提前放出消息主要是點網給開發者和用戶的,因為證書到期后舊版 Android 系統將無法訪問那些使用 Let’s Encrypt 簽發證書的約進網站。
以下是時間點:
2024 年 2 月 8 日:Let’s Encrypt 開始測試停止交叉驗證
2024 年 6 月 6 日:Let’s Encrypt 停止提供交叉驗證
2024 年 9 月 30 日:DST ROOT CA X3– ISRG ROOT X1(交叉) 證書到期,由該證書簽發的所有證書都將無法再信任
為什么不再續簽交叉驗證?
在 2020 年 11 月的時候,Let’s Encrypt 統計發現 Android 7.1 及以下版本占 Android 的 33.8%,實際訪問流量占比 1~5%,如果當時停止續簽則在 2021 年這部分用戶都無法訪問 Let’s Encrypt 簽發的證書,這個流量占比并不低。
如今信任 Let’s Encrypt 根證書即 ISRG ROOT X1 (非交叉) 的 Android 設備占比已經從 66% 提升到 93.9%,也就是僅有 6% 的設備仍然運行 Android 7.1 及以下版本,實際流量占比幾乎可以忽略不計。
所以 Let’s Encrypt 認為是時候停止交叉驗證了,直接使用 ISRG ROOT 證書就可以了,而且 Android 5.0~7.1 用戶可以安裝火狐瀏覽器,火狐瀏覽器內置了 ISRG ROOT CA 證書所以可以繼續訪問。
不再交叉驗證還有好處么?
對 Let’s Encrypt 來說是有好處的,畢竟找 IdenTrust 交叉驗證也是要花錢的,而且交叉驗證意味著 TLS 握手時需要發送更多數據,而停止交叉驗證后 TLS 握手發送的數據將減少 40%。
那最終影響的是哪些用戶呢?
Android 4.4 及以下版本的安卓用戶,搭載這些版本的設備既不能信任 ISRG ROOT CA 也不能安裝火狐瀏覽器,所以是真沒法訪問那些使用 Let’s Encrypt 簽發的證書了,這部分流量占比自然更低。
哪些 “用戶” 應該注意:
Let’s Encrypt 提前放出消息主要是提醒網站管理員和 ACME 客戶端的開發者,一來到明年 9 月停止交叉驗證后確實會影響一部分用戶訪問,這可能導致網站流量下降、成交下降等;而來 ACME 客戶端作者需要跟進一下更新代碼確保能正確下載和安裝證書鏈,避免出現無法信任的情況。