Let’s Encrypt 通过两条链颁发证书:ISRG Root X1 链和由 IdenTrust 的 DST Root CA X3 交叉签名的 ISRG Root X1 链。 交叉签名链使 Let’s Encrypt 证书得到广泛信任,而纯链在过去 3 年中开发了与各种设备的兼容性,使信任 ISRG Root X1 的 Android 设备数量从 66% 增加到 93.9%。
Let’s Encrypt 宣布交叉签名链将于 2024 年 9 月 30 日到期。
影响
交叉签名链的过期将主要影响较旧的设备(例如 Android 7.0 及更早版本)和仅依赖交叉签名链且在其信任存储中缺少 ISRG Root X1 链的系统。 此更改可能会导致这些设备上的证书验证失败,从而可能导致访问您网站的用户出现警告消息或访问问题。
建议:
为了减少此更改的影响,我们建议采取以下步骤:
更改 CA:如果您的客户从旧设备向您的应用程序发出请求,并且您预计此更改会影响他们,那么我们建议使用不同的证书颁发机构或从您选择的 CA 上传证书。
监控:更改推出后,我们建议监控您的支持渠道,以了解与证书警告或访问问题相关的任何询问。
更新信任存储:如果您控制连接到应用程序的客户端,我们建议升级信任存储以包含 ISRG Root X1 链以防止影响。