通知：从2021年1月起Let's Encrypt SSL证书兼容性将降低

新的一年即将来临，同时也给Let 's Encrypt证书的用户带来了一些不幸的消息：从2021年1月开始，Let 's Encrypt证书的兼容性将会降低，网站所有者和用户都会受到影响。Let's Encrypt的根证书即将到期意味着将有三分之一的Android设备将被阻止访问受Let’s Encrypt SSL证书保护的网站。

这个迫在眉睫的问题是因为Let’s Encrypt不再使用第三方根证书进行交叉签名的结果。由于根证书的转换，一些网站访客将被阻止访问受Let’s Encrypt证书保护的网站，并且还会收到类似以下内容的错误提示：

这当然不是用户访问网站时希望看到的东西。同样地，网站所有者也不希望出现任何会引起对其页面安全性和信任度的怀疑的内容。

那么究竟是什么导致了这个问题的发生呢？谁会受到影响？网站站长又可以采取什么措施减轻损失呢？

为什么会出现这个问题？

该问题的起源可以追溯到2015年，当时互联网安全研究小组（ISRG）及其合作伙伴创立了Let's Encrypt。因为他们自己的根证书可能需要数年时间才能得到所有主要浏览器和操作系统的信任，所以他们将证书与现有CA的信任根进行交叉签名。这是新CA的典型做法，在这种情况下，Let's Encrypt使用由IdenTrust根证书交叉签名而成的DST Root X3证书。

这样一来，Let's Encrypt就可以立即开始签发证书，这些证书也可以在整个互联网上受到信任。然而，快进到今天，由IdenTrust 根证书签发的DST Root X3证书越来越接近它的到期日期，即2021年9月30日。

（由IdenTrust提供的根证书即将到期）

为此，Let's Encrypt发行了自己的根证书ISRG Root X1为到期做好了准备。不幸的是，ISRG Root X1根证书还没有像即将到期的IdenTrust根那样完全受信任。

尽管如此，Let 's Encrypt仍将于2021年1月11日开始颁发链接到其ISRG root X1证书的根证书。由于他们自己的根没有像IdenTrust得到广泛信任，因此，某些较老平台上的用户将被阻止访问使用Let's Encrypt SSL / TLS证书的网站。

谁将受到影响？

好消息是，此问题主要影响较老的平台。但坏消息是，仍然有大量的用户在使用这些平台。

影响最严重的是使用Android 7.1.1或更早版本的用户。到目前为止，所有Android设备中有33.8％的设备还在运行这些旧版本。每当他们访问受Let's Encrypt SSL证书保护的网站（目前有2.25亿个域属于此类）时，就会遇到证书错误和警告提示，就如上面看到的那样。

这个根本问题并不是Let's Encrypt证书的错，准确地说，真正的原因是许多平台的软件更新缓慢。

制造商和移动运营商通常在将操作系统加载到自己的设备上并传递给终端用户之前对其进行修改。因此，当 Google 向 Android 发布更新时，制造商和运营商不能简单地向用户推送更新。他们必须回去将这些更改合并到自己的专有软件版本中。大多数时候，除了最新设备外，很多旧设备并没有这些软件。大多数时候，特别是对于除了最新设备之外的所有设备，它们都不能做到这一点。在某些情况下，手机硬件甚至不能运行更新的软件版本。这就是为什么我们现在有数百万的Android设备使用过时的操作系统。

较老的Java版本也会受到根证书更改的影响。任何使用1.8.0_141-b15之前Java版本的客户端在访问使用Let 's Encrypt证书的网站时也会收到警告和错误提示。

到目前为止，这些是我们所知道的主要平台，但是当根证书到期时，更多的兼容性问题可能会出现在其他平台上。

建议措施

站长可以使用几种不同的方法来减轻根证书过期带来的影响。首先，对于那些还在使用Android旧版本的访客，你可以提醒他们在访问您的网站之前将版本升级。他们可以升级Android或将浏览器切换到移动版Firefox，这要归功于Firefox依赖于自己的(定期更新的)根证书列表，而不是操作系统的根证书列表。

虽然这在理论上是一个很好的补救措施，但这个方法可能不是很有效，因为大多数用户都不愿意为了访问一个网站而升级设备或切换浏览器。

您也可以停止对旧版本的支持。然而，这可能会导致用户受挫，如果有大量用户使用该旧版本，停止支持将导致网站流量减少从而损失收入。

使用ACME的站长可以修改他们的客户端设置，以继续使用交叉签名的Let's Encrypt证书。然而，这只会维持到2021年9月。不过，它可以为你争取一些时间来制定长期的解决方案。

不需要用户端进行任何操作的最实用的解决方案是，将网站SSL证书切换到所有主要平台(包括旧系统)都信任的根证书的CA。权威的CA颁发的SSL证书已经使用它们自己的受信任根很多年了，并使用它们自己的旧根进行交叉签名，以确保完全兼容性。

提示:如果你不清楚这将对您的网站用户有多少影响，你可以使用谷歌分析来确定您的网站有多少用户还在使用Android 7.1.1或更早版本。

写在最后

Let’s Encrypt证书将很快开始使用它们新的、不那么可信的根证书，所以最好尽快弄清楚如何不受此影响，特别是近三分之一的Android设备。没有什么选择是完美的。您可以把这个问题推给您的用户，但是您得靠他们自己升级设备，否则他们将被阻止访问您的网站。或者，您可以将SSL证书切换到具有在新旧设备上都完全受信任的根的CA。这就需要您做些努力，以继续维护您网站与用户之间的信任。不管怎样，请确保您为1月11日做好了准备!