3年之約進(jìn)入倒計(jì)時(shí) Let’s Encrypt證書將不再支持舊版Android系統(tǒng) – 藍(lán)點(diǎn)網(wǎng)
2020 年 11 月 Let’s Encrypt 宣布將在次年更換根證書,約進(jìn)這次更換根證書將導(dǎo)致大量用戶無(wú)法正常訪問(wèn)網(wǎng)站,入倒究其原因主要是計(jì)時(shí)舊版重慶外圍(外圍模特)外圍女(電話微信180-4582-8235)真實(shí)上門外圍上門外圍女,快速安排30分鐘到達(dá) Android 7.1 及以下版本已經(jīng)停止支持,谷歌不再更新其證書庫(kù),證支持因此對(duì)于新簽發(fā)的不再證書是沒(méi)法信任的。
2020 年 12 月 Let’s Encrypt 宣布問(wèn)題暫時(shí)解決,統(tǒng)藍(lán)因?yàn)楹献鞣?IdenTrust 已經(jīng)同意再續(xù)簽三年的點(diǎn)網(wǎng)交叉驗(yàn)證,也就是約進(jìn)為 Let’s Encrypt 運(yùn)營(yíng)實(shí)體 ISRG 的證書提供交叉驗(yàn)證,而 IdenTrust 的入倒證書早就內(nèi)置在 Android 里了,所以可以繼續(xù)訪問(wèn)。計(jì)時(shí)舊版
如今三年之約至今過(guò)半,證支持重慶外圍(外圍模特)外圍女(電話微信180-4582-8235)真實(shí)上門外圍上門外圍女,快速安排30分鐘到達(dá)Let’s Encrypt 也提前放出消息明確不會(huì)再續(xù)簽,不再這對(duì) IdenTrust 沒(méi)什么影響,統(tǒng)藍(lán)提前放出消息主要是點(diǎn)網(wǎng)給開發(fā)者和用戶的,因?yàn)樽C書到期后舊版 Android 系統(tǒng)將無(wú)法訪問(wèn)那些使用 Let’s Encrypt 簽發(fā)證書的約進(jìn)網(wǎng)站。
以下是時(shí)間點(diǎn):
2024 年 2 月 8 日:Let’s Encrypt 開始測(cè)試停止交叉驗(yàn)證
2024 年 6 月 6 日:Let’s Encrypt 停止提供交叉驗(yàn)證
2024 年 9 月 30 日:DST ROOT CA X3– ISRG ROOT X1(交叉) 證書到期,由該證書簽發(fā)的所有證書都將無(wú)法再信任
為什么不再續(xù)簽交叉驗(yàn)證?
在 2020 年 11 月的時(shí)候,Let’s Encrypt 統(tǒng)計(jì)發(fā)現(xiàn) Android 7.1 及以下版本占 Android 的 33.8%,實(shí)際訪問(wèn)流量占比 1~5%,如果當(dāng)時(shí)停止續(xù)簽則在 2021 年這部分用戶都無(wú)法訪問(wèn) Let’s Encrypt 簽發(fā)的證書,這個(gè)流量占比并不低。
如今信任 Let’s Encrypt 根證書即 ISRG ROOT X1 (非交叉) 的 Android 設(shè)備占比已經(jīng)從 66% 提升到 93.9%,也就是僅有 6% 的設(shè)備仍然運(yùn)行 Android 7.1 及以下版本,實(shí)際流量占比幾乎可以忽略不計(jì)。
所以 Let’s Encrypt 認(rèn)為是時(shí)候停止交叉驗(yàn)證了,直接使用 ISRG ROOT 證書就可以了,而且 Android 5.0~7.1 用戶可以安裝火狐瀏覽器,火狐瀏覽器內(nèi)置了 ISRG ROOT CA 證書所以可以繼續(xù)訪問(wèn)。
不再交叉驗(yàn)證還有好處么?
對(duì) Let’s Encrypt 來(lái)說(shuō)是有好處的,畢竟找 IdenTrust 交叉驗(yàn)證也是要花錢的,而且交叉驗(yàn)證意味著 TLS 握手時(shí)需要發(fā)送更多數(shù)據(jù),而停止交叉驗(yàn)證后 TLS 握手發(fā)送的數(shù)據(jù)將減少 40%。
那最終影響的是哪些用戶呢?
Android 4.4 及以下版本的安卓用戶,搭載這些版本的設(shè)備既不能信任 ISRG ROOT CA 也不能安裝火狐瀏覽器,所以是真沒(méi)法訪問(wèn)那些使用 Let’s Encrypt 簽發(fā)的證書了,這部分流量占比自然更低。
哪些 “用戶” 應(yīng)該注意:
Let’s Encrypt 提前放出消息主要是提醒網(wǎng)站管理員和 ACME 客戶端的開發(fā)者,一來(lái)到明年 9 月停止交叉驗(yàn)證后確實(shí)會(huì)影響一部分用戶訪問(wèn),這可能導(dǎo)致網(wǎng)站流量下降、成交下降等;而來(lái) ACME 客戶端作者需要跟進(jìn)一下更新代碼確保能正確下載和安裝證書鏈,避免出現(xiàn)無(wú)法信任的情況。
