Let's Encrypt让我们加密吧是全球最为知名的证书颁发机构,就目前来说这家证书颁发机构也是全球使用量最大的证书颁发平台,其提供的免费证书在数以千万计的网站上运行,为网站和用户提供加密访问以确保数据不会遭到泄露。不得不说该项目是造福整个互联网的免费项目,这需要感谢Mozilla基金会和项目的主要赞助商们。
不过该项目将在明年秋季更换新的根证书,此次更换根证书预计可能会造成大量网站无法正常访问,受影响的主要是安卓系统,具体来说主要影响的是Android 7.1及以下系统,因为这些系统无法兼容Let's Encrypt即将更换的根证书导致证书校验失败,校验失败后将会影响用户的正常访问。
Let's Encrypt项目自2015年上线运行时就没有自己的根证书,其主要靠的是IdenTrust提供的交叉签名验证,这个交叉签名可以保证在所有平台上DST ROOT CA X3证书可以被信任。不过在2021年9月,ISRG(即Let's Encrypt项目的运营方)将不再与IdenTrust进行续签,停止续签意味着交叉签名验证也将停止。
ISRG将会推出自己的根证书ISRG ROOT CA X1,有了这款根证书Let's Encrypt项目将有能力提供任何可靠的证书,目前新的根证书已经被Windows、Linux、iOS、Android和Firefox平台接受,因此在更换证书后这些平台依然可以继续进行验证,对网站管理员来说到时候证书自动续签时会更换新证书,也不会影响大多数用户的访问。
ISRG并未说明为何会停止与IdenTrust进行合作,但毕竟现在ISRG准备使用自己的根证书那也是个不错的发展方向,毕竟作为顶级证书颁发机构长期没有自己的ROOT证书也确实是个问题。
ISRG准备的新证书已经获得所有平台的认证,只是略显遗憾的是由于Android平台的碎片化问题,大量制造商在安卓设备里会使用修改版的安卓系统,而这些制造商并不会及时为安卓设备提供新版本支持,这导致目前全球有大量安卓设备仍然是旧版本的,这些旧版本谷歌已经无法控制,而设备制造商也不愿意再投入时间和金钱去发布更新。
这些运行旧版安卓系统的设备也无法更新系统内置的根证书库,Android 7.1及以下版本都将无法兼容ISRG ROOT CA X1证书,这意味着在明年秋季Let's Encrypt更换证书后,Android 7.1及以下版本的设备将无法正常访问使用Let's Encrypt证书加密的网站。
统计数据显示运行Android 7.1及以下版本的设备占比约为33.8%,ISRG调查后发现这些设备访问网站的流量比在1~5%之间,尽管到明年该数字可能还会下降但可能并不会下降多少,这意味着这个兼容性问题并不容易解决。
作为应对办法Let's Encrypt将提供旧的DST ROOT CA X3证书进行过渡,这需要网站管理员自己使用ACME客户端进行调整,如果不调整的话可能会影响极少部分用户的访问。ISRG并不赞成网站使用旧的兼容证书,ISRG推荐网站提醒用户使用安卓火狐浏览器,火狐浏览器自带证书库可以很方便的更新,因此也是兼容ISRG ROOT CA X1的。
安卓版火狐浏览器支持Android 5.0及以上版本,至于Android 4.4及以下版本用户可能无法安装,到时候可能会影响用户的正常访问。尽管这些兼容性问题可能会带来困难,但新旧产品过渡是不可避免的,只能期望旧版安卓设备会尽快被新版本替代掉。
评论留言