Let’s Encrypt SSL证书从2021年1月起兼容性将降低
环度小编:

新的一年已经来临,Let 's Encrypt 证书的用户却面临了一个不幸的消息:从 2021 年 1 月开始,Let's Encrypt SSL证书因根证书到期导致兼容性将会降低,这较大地影响了网站所用者和用户。

为什么会有这类问题的出现?

这还得从 2015 年开始说起,Let's Encrypt 就是在那时候通过互联网安全研究小组及其合作伙伴创立的,由于他们自己的根证书还要好几年时间才能得到所有主要浏览器和操作系统的信任,于是他们将证书与现有 CA 的信任根进行交叉签名。也就是由 IdenTrust 根证书交叉签名而成的 DST Root X3。这样 Let's Encrypt 就可以立即签发在整个互联网上能够受到信任的证书。2021 年 9 月 30 日 DST Root X3 证书就要到期了, Let's Encrypt 于是发行了自己的根证书 ISRG Root X1 为到期做准备。但是,ISRG Root X1 根证书还没有完全受信任,因此某些较老平台上的用户将被阻止访问使用 Let's Encrypt SSL / TLS 证书的网站。

使用 Android 7.1.1 或更早版本的用户受到的影响大。到目前为止,所有 Android 设备中有 33.8% 的设备还在运行这些旧版本,每当他们访问受 Let's Encrypt SSL证书保护的网站时,就会遇到证书错误和警告提示。

应对措施

1.更新设备

提醒那些还在使用 Android 旧版本的访客在浏览您的网站之前先将版本升级,升级 Android 或将浏览器切换到移动版 Firefox,因为 Firefox 有自己定期更新的根证书列表,而不是用的操作系统的根证书列表。

但是因为大多数用户都不愿意为了访问一个网站而升级设备或切换浏览器,并且网站也不能保证很高就能通知到网站的每个访客,因此,这并不是一个很好的补救措施。

2.停止对旧版本的支持

但是这不仅可能会导致用户受挫,而且会使大量使用该旧版本的客户停止支持,将导致网站流量减少从而损失收入。

3.使用 ACME 的站长可以修改他们的客户端设置

这样可以继续使用交叉签名的 Let's Encrypt 证书,但是,这只会维持到 2021 年 9 月。这样只会为你争取一些时间来制定长期的解决方案。

4.将网站SSL证书更换为主要平台(包括旧系统)都信任的 CA 品牌

比如 DigiCert、GlobalSign 等可信 CA 机构颁发的SSL证书的根证书已经很多年了,并使用它们自己的旧根进行交叉签名,以确保完全兼容性。

申请SSL证书就来环度网信,环度网信集成了 DigiCert、Entrust、GlobalSign 等经过 Webtrust 认证的可信SSL证书,能兼容浏览器。


  • 扫一扫二维码可分享朋友或朋友圈