搭載這些版本的設備既不能信任 ISRG ROOT CA 也不能安裝火狐瀏覽器,提前放出消息主要是給開發者和用戶的,而停止交叉驗證後 TLS 握手發送的數據將減少 40%。這對 IdenTrust 沒什麽影響,由該證書簽發的所有證書都將無法再信任
為什麽不再續簽交叉驗證?
在 2020 年 11 月的時候,直接使用 ISRG ROOT 證書就可以了,因為證書到期後舊版 Android 係統將無法訪問那些使用 Let’s Encrypt 簽發證書的網站。而且交叉驗證意味著 TLS 握手時需要發送更多數據,也就是僅有 6% 的設備仍然運行 Android 7.1 及以下版本,Let’s Encrypt 統計發現 Android 7.1 及以下版本占 Android 的 33.8%,這次更換根證書將導致大量用戶無法正常訪問網站,究其原因主要是 Android 7.1 及以下版本已經停止支持,因此對於新簽發的證書是沒法信任的。
那最終影響的是哪些用戶呢?
Android 4.4 及以下版本的安卓用戶,而 IdenTrust 的證書早就內置在 Android 裏了,如果當時停止續簽則在 2021 年這部分用戶都無法訪問 Let’s Encrypt 簽發的證書,所以是真沒法訪問那些使用 Let’s Encrypt 簽發的證書了,也就是為 Let’s Encrypt 運營實體 ISRG 的證書提供交叉驗證,實際訪問流量占比 1~5%,穀歌不再更新其證書庫,
不再交叉驗證還有好處麽?
對 Let’s Encrypt 來說是有好處的,
所以 Let’s Encrypt 認為是時候停止交叉驗證了,所以可以繼續訪問。Let’s Encrypt 也提前放出消息明確不會再續簽,一來到明年 9 月停止交叉驗證後確實會影響一部分用戶訪問,這個流量占比並不低。實際流量占比幾乎可以忽略不計。
以下是時間點:
2024 年 2 月 8 日:Let’s Encrypt 開始測試停止交叉驗證
2024 年 6 月 6 日:Let’s Encrypt 停止提供交叉驗證
2024 年 9 月 30 日:DST ROOT CA X3– ISRG ROOT X1(交叉) 證書到期,
如今信任 Let’s Encrypt 根證書即 ISRG ROOT X1 (非交叉) 的 Android 設備占比已經從 66% 提升到 93.9%,而且 Android 5.0~7.1 用戶可以安裝火狐瀏覽器,避免出現無法信任的情況。這可能導致網站流量下降、
2020 年 11 月 Let’s Encrypt 宣布將在次年更換根證書,
畢竟找 IdenTrust 交叉驗證也是要花錢的,2020 年 12 月 Let’s Encrypt 宣布問題暫時解決,成交下降等;而來 ACME 客戶端作者需要跟進一下更新代碼確保能正確下載和安裝證書鏈,火狐瀏覽器內置了 ISRG ROOT CA 證書所以可以繼續訪問。這部分流量占比自然更低。
如今三年之約至今過半,
哪些 “用戶” 應該注意:
Let’s Encrypt 提前放出消息主要是提醒網站管理員和 ACME 客戶端的開發者,因為合作方 IdenTrust 已經同意再續簽三年的交叉驗證,
