新的一年即將來(lái)臨，同時(shí)也給Let 's Encrypt證書的用戶帶來(lái)了一些不幸的消息：從2021年1月開始，Let 's Encrypt證書的兼容性將會(huì)降低，網(wǎng)站所有者和用戶都會(huì)受到影響。Let's Encrypt的根證書即將到期意味著將有三分之一的Android設(shè)備將被阻止訪問受Let’s Encrypt SSL證書保護(hù)的網(wǎng)站。

這個(gè)迫在眉睫的問題是因?yàn)?/span>Let’s Encrypt不再使用第三方根證書進(jìn)行交叉簽名的結(jié)果。由于根證書的轉(zhuǎn)換，一些網(wǎng)站訪客將被阻止訪問受Let’s Encrypt證書保護(hù)的網(wǎng)站，并且還會(huì)收到類似以下內(nèi)容的錯(cuò)誤提示：

這當(dāng)然不是用戶訪問網(wǎng)站時(shí)希望看到的東西。同樣地，網(wǎng)站所有者也不希望出現(xiàn)任何會(huì)引起對(duì)其頁(yè)面安全性和信任度的懷疑的內(nèi)容。

那么究竟是什么導(dǎo)致了這個(gè)問題的發(fā)生呢？誰(shuí)會(huì)受到影響？網(wǎng)站站長(zhǎng)又可以采取什么措施減輕損失呢？

為什么會(huì)出現(xiàn)這個(gè)問題？

該問題的起源可以追溯到2015年，當(dāng)時(shí)互聯(lián)網(wǎng)安全研究小組（ISRG）及其合作伙伴創(chuàng)立了Let's Encrypt。因?yàn)樗麄冏约旱母C書可能需要數(shù)年時(shí)間才能得到所有主要瀏覽器和操作系統(tǒng)的信任，所以他們將證書與現(xiàn)有CA的信任根進(jìn)行交叉簽名。這是新CA的典型做法，在這種情況下，Let's Encrypt使用由IdenTrust根證書交叉簽名而成的DST Root X3證書。

這樣一來(lái)，Let's Encrypt就可以立即開始簽發(fā)證書，這些證書也可以在整個(gè)互聯(lián)網(wǎng)上受到信任。然而，快進(jìn)到今天，由IdenTrust 根證書簽發(fā)的DST Root X3證書越來(lái)越接近它的到期日期，即2021年9月30日。

（由IdenTrust提供的根證書即將到期）

為此，Let's Encrypt發(fā)行了自己的根證書ISRG Root X1為到期做好了準(zhǔn)備。不幸的是，ISRG Root X1根證書還沒有像即將到期的IdenTrust根那樣完全受信任。

盡管如此，Let?'s?Encrypt仍將于2021年1月11日開始頒發(fā)鏈接到其ISRG?root?X1證書的根證書。由于他們自己的根沒有像IdenTrust得到廣泛信任，因此，某些較老平臺(tái)上的用戶將被阻止訪問使用Let's Encrypt SSL / TLS證書的網(wǎng)站。

誰(shuí)將受到影響？

好消息是，此問題主要影響較老的平臺(tái)。但壞消息是，仍然有大量的用戶在使用這些平臺(tái)。

影響最嚴(yán)重的是使用Android 7.1.1或更早版本的用戶。到目前為止，所有Android設(shè)備中有33.8％的設(shè)備還在運(yùn)行這些舊版本。每當(dāng)他們?cè)L問受Let's Encrypt SSL證書保護(hù)的網(wǎng)站（目前有2.25億個(gè)域?qū)儆诖祟悾r(shí)，就會(huì)遇到證書錯(cuò)誤和警告提示，就如上面看到的那樣。

這個(gè)根本問題并不是Let's Encrypt證書的錯(cuò)，準(zhǔn)確地說(shuō)，真正的原因是許多平臺(tái)的軟件更新緩慢。

制造商和移動(dòng)運(yùn)營(yíng)商通常在將操作系統(tǒng)加載到自己的設(shè)備上并傳遞給終端用戶之前對(duì)其進(jìn)行修改。因此，當(dāng) Google 向 Android 發(fā)布更新時(shí)，制造商和運(yùn)營(yíng)商不能簡(jiǎn)單地向用戶推送更新。他們必須回去將這些更改合并到自己的專有軟件版本中。大多數(shù)時(shí)候，除了最新設(shè)備外，很多舊設(shè)備并沒有這些軟件。大多數(shù)時(shí)候，特別是對(duì)于除了最新設(shè)備之外的所有設(shè)備，它們都不能做到這一點(diǎn)。在某些情況下，手機(jī)硬件甚至不能運(yùn)行更新的軟件版本。這就是為什么我們現(xiàn)在有數(shù)百萬(wàn)的Android設(shè)備使用過(guò)時(shí)的操作系統(tǒng)。

較老的Java版本也會(huì)受到根證書更改的影響。任何使用1.8.0_141-b15之前Java版本的客戶端在訪問使用Let 's Encrypt證書的網(wǎng)站時(shí)也會(huì)收到警告和錯(cuò)誤提示。

到目前為止，這些是我們所知道的主要平臺(tái)，但是當(dāng)根證書到期時(shí)，更多的兼容性問題可能會(huì)出現(xiàn)在其他平臺(tái)上。

建議措施

站長(zhǎng)可以使用幾種不同的方法來(lái)減輕根證書過(guò)期帶來(lái)的影響。首先，對(duì)于那些還在使用Android舊版本的訪客，你可以提醒他們?cè)谠L問您的網(wǎng)站之前將版本升級(jí)。他們可以升級(jí)Android或?qū)g覽器切換到移動(dòng)版Firefox，這要?dú)w功于Firefox依賴于自己的(定期更新的)根證書列表，而不是操作系統(tǒng)的根證書列表。

雖然這在理論上是一個(gè)很好的補(bǔ)救措施，但這個(gè)方法可能不是很有效，因?yàn)榇蠖鄶?shù)用戶都不愿意為了訪問一個(gè)網(wǎng)站而升級(jí)設(shè)備或切換瀏覽器。

您也可以停止對(duì)舊版本的支持。然而，這可能會(huì)導(dǎo)致用戶受挫，如果有大量用戶使用該舊版本，停止支持將導(dǎo)致網(wǎng)站流量減少?gòu)亩鴵p失收入。

使用ACME的站長(zhǎng)可以修改他們的客戶端設(shè)置，以繼續(xù)使用交叉簽名的Let's Encrypt證書。然而，這只會(huì)維持到2021年9月。不過(guò)，它可以為你爭(zhēng)取一些時(shí)間來(lái)制定長(zhǎng)期的解決方案。

不需要用戶端進(jìn)行任何操作的最實(shí)用的解決方案是，將網(wǎng)站SSL證書切換到所有主要平臺(tái)(包括舊系統(tǒng))都信任的根證書的CA。權(quán)威的CA頒發(fā)的SSL證書已經(jīng)使用它們自己的受信任根很多年了，并使用它們自己的舊根進(jìn)行交叉簽名，以確保完全兼容性。

提示:如果你不清楚這將對(duì)您的網(wǎng)站用戶有多少影響，你可以使用谷歌分析來(lái)確定您的網(wǎng)站有多少用戶還在使用Android 7.1.1或更早版本。

寫在最后

Let’s Encrypt證書將很快開始使用它們新的、不那么可信的根證書，所以最好盡快弄清楚如何不受此影響，特別是近三分之一的Android設(shè)備。沒有什么選擇是完美的。您可以把這個(gè)問題推給您的用戶，但是您得靠他們自己升級(jí)設(shè)備，否則他們將被阻止訪問您的網(wǎng)站?；蛘?，您可以將SSL證書切換到具有在新舊設(shè)備上都完全受信任的根的CA。這就需要您做些努力，以繼續(xù)維護(hù)您網(wǎng)站與用戶之間的信任。不管怎樣，請(qǐng)確保您為1月11日做好了準(zhǔn)備!