更新,2023 年 7 月 10 日

請參閱我們的新部落格文章,了解關於 2024 年 9 月 IdenTrust 對較新的 ISRG Root X1 交叉簽章過期的詳細資訊。

更新,2020 年 12 月 21 日

感謝社群的回饋以及我們在 IdenTrust 的優秀合作夥伴,我們將能夠繼續為使用舊 Android 裝置的使用者提供不間斷的服務。我們標示了這篇部落格文章中不再準確的內容。請訪問我們社群論壇上的這篇文章,以取得關於鏈變更的最新資訊。

當一個新的憑證授權單位 (CA) 出現時,它會面臨一個難題:為了對人們有用,它需要其根憑證受到各種作業系統 (OS) 和瀏覽器的信任。然而,作業系統和瀏覽器可能需要數年才能接受新的根憑證,甚至需要更長的時間才能讓使用者將他們的裝置升級到包含該變更的較新版本。常見的解決方案是:新的憑證授權單位通常會要求現有的受信任憑證授權單位提供交叉簽章,以便快速獲得許多裝置的信任。

五年前,當 Let's Encrypt 推出時,我們正是這樣做的。我們從 IdenTrust 獲得了交叉簽章。他們的「DST Root X3」已經存在很長時間,並且所有主要的軟體平台都已經信任它:Windows、Firefox、macOS、Android、iOS 和各種 Linux 發行版。該交叉簽章讓我們能夠立即開始頒發憑證,並且對許多人有用。如果沒有 IdenTrust,Let's Encrypt 可能永遠不會發生,我們很感謝他們的合作夥伴關係。同時,我們頒發了自己的根憑證(「ISRG Root X1」),並申請讓主要軟體平台信任它。

[此章節已過時] 現在,這些軟體平台已經信任我們的根憑證多年。而我們賴以起步的 DST Root X3 根憑證將於 2021 年 9 月 1 日到期。幸運的是,我們已經準備好自力更生,並且僅依靠我們自己的根憑證。

然而,這確實會帶來一些相容性問題。一些自 2016 年(大約是我們的根憑證被許多根程式接受時)以來未更新的軟體仍然不信任我們的根憑證 ISRG Root X1。最值得注意的是,這包括 7.1.1 之前的 Android 版本。這意味著那些較舊版本的 Android 將不再信任 Let's Encrypt 頒發的憑證。

Android 在作業系統更新方面一直存在一個眾所周知的問題。世界上有許多 Android 裝置執行過時的作業系統。原因很複雜且難以解決:對於每支手機,核心 Android 作業系統通常在最終使用者收到之前由製造商和行動電信業者修改。當 Android 有更新時,製造商和行動電信業者都必須將這些變更合併到他們客製化的版本中,然後再發送出去。製造商通常會認為這不值得努力。結果對於購買這些裝置的人來說很糟糕:許多人被困在過時多年的作業系統上。

Google 不再在其發行儀表板上提供版本號,但您仍然可以透過下載Android Studio來取得一些資料。以下是截至 2020 年 9 月的數據

Android Version Distribution as of September 2020

目前,66.2% 的 Android 裝置執行的是 7.1 或以上版本。其餘 33.8% 的 Android 裝置在使用者瀏覽具有 Let's Encrypt 憑證的網站時,最終會開始出現憑證錯誤。在我們與大型整合商的溝通中,我們發現這約佔其網站流量的 1-5%。希望在明年 DST Root X3 到期時,這些數字會更低,但變化可能不是很顯著。

我們能對此做些什麼呢?嗯,雖然我們很樂意改善 Android 的更新情況,但我們在那方面無能為力。我們也買不起世界上的新手機。我們可以獲得另一個交叉簽章嗎?我們已經探索過這個選項,但似乎不太可能。憑證授權單位交叉簽署另一個憑證授權單位的憑證是一個很大的風險,因為他們必須對該憑證授權單位所做的一切負責。這也意味著交叉簽章的接收者必須遵循交叉簽章憑證授權單位制定的所有程序。我們能夠自力更生非常重要。此外,Android 更新問題似乎不會消失。如果我們致力於支援舊版 Android,我們將致力於無限期地從其他憑證授權單位尋求交叉簽章。

這真是一個難題。我們致力於讓地球上的每個人都能擁有安全且尊重隱私的通訊。而且我們知道,受 Android 更新問題影響最大的人是我們最想幫助的人 - 那些可能無法每四年購買一支新手機的人。不幸的是,我們預計在 DST Root X3 到期之前,Android 使用數據不會有太大變化。透過現在提高對此變更的認識,我們希望幫助我們的社群找到最佳的發展方向。

[此章節已過時] 如果您是網站擁有者

截至2021 年 1 月 11 日我們計劃變更我們的 API,以便 ACME 用戶端預設將提供一個指向 ISRG Root X1 的憑證鏈。然而,也可以為同一憑證提供一個替代憑證鏈,該憑證鏈指向 DST Root X3 並提供更廣泛的相容性。這是透過ACME「替代」連結關係實作的。這受到 Certbot 1.6.0 以上版本的支援。如果您使用不同的 ACME 用戶端,請查看您用戶端的文件,以了解是否支援「替代」連結關係。

有些網站擁有者會收到使用者的投訴,我們很同情這種不理想的情況。我們正在努力提醒網站擁有者,以便您可以計劃和準備。我們鼓勵網站擁有者部署臨時修復(切換到替代憑證鏈),以保持您的網站正常運作,同時評估您長期解決方案的需求:無論您是否需要執行橫幅,要求您的舊作業系統上的 Android 使用者安裝 Firefox、停止支援舊版 Android 版本、對於舊版 Android 版本降回 HTTP,還是切換到安裝在這些舊版本上的憑證授權單位。

[此章節已過時] 如果您透過您的主機供應商取得 Let's Encrypt 憑證

您的主機供應商可能會提供 DST Root X3 直到2021 年 9 月,或者他們可能會決定在2021 年 1 月 11 日之後切換到指向 ISRG Root X1 的憑證鏈。如果您有任何疑問,請聯絡他們!

如果您使用舊版 Android

如果您使用的是舊版 Android,我們建議您安裝 Firefox Mobile,截至撰寫本文時,該版本支援 Android 5.0 及以上版本。

為什麼安裝 Firefox 會有所幫助?對於 Android 手機的內建瀏覽器,受信任的根憑證列表來自作業系統 - 在這些舊手機上已經過時。然而,Firefox 目前在瀏覽器中是獨一無二的 - 它帶有自己的受信任根憑證列表。因此,任何安裝最新 Firefox 版本的人都可以受益於最新的受信任憑證授權單位列表,即使他們的作業系統已經過時。

我們感謝您現在以及多年來的理解和支持,因為我們持續成長為憑證授權單位,確保各地的人們都可以存取加密。我們將透過我們的社群論壇文章提供有關此根轉換如何影響 Android 裝置的任何未來更新。如果您對此變更有任何疑問,我們的社群隨時準備提供協助:community.letsencrypt.org

我們仰賴支持者的貢獻來提供我們的服務。如果您的公司或組織想要贊助 Let's Encrypt,請透過電子郵件聯絡我們:sponsor@letsencrypt.org。如果您的能力許可,我們要求您做出個人捐款

如果您是應用程式開發人員

如果您開發 Android 應用程式,您可以發布更新,將 ISRG Root X1 新增為應用程式內容中的受信任根。在此論壇主題此 GitHub 問題(在第三方儲存庫上)中討論了如何做到這一點的方法。