Let’s Encrypt舊的根證書(shū)即將到期 Android 7.1.1及更早版本的用戶將受影響 – 藍(lán)點(diǎn)網(wǎng)
如果你仍然在使用 Android 7.1.1 及更早的舊即將d及版本,那么接下來(lái)你可能會(huì)碰到有一些網(wǎng)站無(wú)法訪問(wèn),根到期的用點(diǎn)網(wǎng)這并不是證書(shū)網(wǎng)站的問(wèn)題而是系統(tǒng)版本問(wèn)題。
Let’s Encrypt 是更早目前被廣泛使用的免費(fèi)證書(shū)頒發(fā)機(jī)構(gòu),當(dāng)前全球至少也有千萬(wàn)以上的版本網(wǎng)站使用 Let’s Encrypt 簽發(fā)的證書(shū)。
今天 Cloudflare 發(fā)布關(guān)于 Let’s Encrypt 根證書(shū)變更的受影提示,這個(gè)提示其實(shí) Let’s Encrypt 早在幾年前就說(shuō)了,響藍(lán)去年也陸續(xù)說(shuō)了,舊即將d及這是根到期的用點(diǎn)網(wǎng)一個(gè)比較麻煩的問(wèn)題。
問(wèn)題根源:
Let’s Encrypt 最初使用 IdenTrust 交叉簽名的根證書(shū),這個(gè)根證書(shū)自 2000 年以來(lái)就是更早有效的,因此廣泛兼容各類(lèi)老舊設(shè)備,版本包括 Android 7.1.1 及此前的受影版本。
后來(lái) Let’s Encrypt 推出了自己的響藍(lán)根證書(shū) ISRG Root X1,這份根證書(shū)屬于新證書(shū),舊即將d及一些老舊的、停止更新的系統(tǒng)由于缺乏開(kāi)發(fā)商提供的更新,因此是無(wú)法信任該證書(shū)的。
而 IdenTrust 交叉簽名證書(shū)將在 2024 年 9 月 30 日到期,因此后續(xù)開(kāi)發(fā)者也無(wú)法再申請(qǐng)簽發(fā)基于 IdenTrust 的 Let’s Encrypt 證書(shū)。
Cloudflare 也停止簽發(fā)舊證書(shū):
Cloudflare 今天發(fā)布的公告說(shuō)的是從今年 5 月 15 日開(kāi)始,該平臺(tái)不再簽發(fā)基于 IdenTrust 的 Let’s Encrypt 證書(shū),也就是后續(xù)簽發(fā)的新證書(shū)全部都是 ISRG Root X1 的。
這意味著如果網(wǎng)站仍然面向某些老舊系統(tǒng),那么這些系統(tǒng)將無(wú)法訪問(wèn)網(wǎng)站,這可能會(huì)對(duì)網(wǎng)站產(chǎn)生輕微的流量影響。
根據(jù) Let’s Encrypt 的統(tǒng)計(jì),目前超過(guò) 93.9% 的 Android 設(shè)備已經(jīng)信任 ISRG Root X1,但剩余個(gè)位數(shù)的老舊 Android 版本也就是 7.1.1 之前的無(wú)法信任。
如果是大型網(wǎng)站或企業(yè),建議考慮購(gòu)買(mǎi)其他付費(fèi)證書(shū)來(lái)提高兼容性,對(duì)于一般性網(wǎng)站那么基本可以考慮放棄支持 Android 7.1.1 及之前的版本了。
注:Android 5.0~7.1 用戶可以安裝火狐瀏覽器,火狐瀏覽器內(nèi)置了 ISRG ROOT CA 證書(shū)所以可以繼續(xù)訪問(wèn)。