上次更新時間: | 查看所有文件
2024 年 2 月 5 日更新 兩年過去了,下方提到的 Android 相容性交叉簽章即將到期。請參閱 我們最近的部落格文章,以詳細瞭解 2024 年即將發生的變更。
2021 年 9 月 30 日更新 如計畫,DST Root CA X3 交叉簽章已到期,我們現在幾乎在所有裝置上都使用我們自己的 ISRG Root X1 來建立信任。如需有關此計畫的詳細資訊,請繼續閱讀!我們也在我們的社群論壇更新了生產鏈變更的討論串 - 我們的團隊和社群在這裡隨時準備好協助您解決關於此到期的任何問題。
在 2021 年 9 月 30 日,舊版瀏覽器和裝置信任 Let’s Encrypt 憑證的方式將會有一些小變更。如果您運行的是典型的網站,您不會注意到任何差異 - 絕大多數的訪客仍然會接受您的 Let’s Encrypt 憑證。如果您提供 API 或必須支援 IoT 裝置,您可能需要多加留意這項變更。
Let’s Encrypt 有一個稱為 ISRG Root X1 的「根憑證」。現代瀏覽器和裝置信任您網站上安裝的 Let’s Encrypt 憑證,因為它們的根憑證清單中包含 ISRG Root X1。為了確保我們發行的憑證在舊裝置上受到信任,我們還有一個來自較舊根憑證的「交叉簽章」:DST Root CA X3。
當我們剛開始時,這個較舊的根憑證 (DST Root CA X3) 幫助我們起步,並立即獲得幾乎所有裝置的信任。較新的根憑證 (ISRG Root X1) 現在也廣泛受到信任 - 但一些舊裝置永遠不會信任它,因為它們不會收到軟體更新(例如,iPhone 4 或 HTC Dream)。按一下這裡查看哪些平台信任 ISRG Root X1 的清單。
DST Root CA X3 將於 2021 年 9 月 30 日到期。這表示那些不信任 ISRG Root X1 的舊裝置在造訪使用 Let’s Encrypt 憑證的網站時,將會開始收到憑證警告。但有一個重要的例外:不信任 ISRG Root X1 的舊版 Android 裝置將會繼續與 Let’s Encrypt 協同運作,這要歸功於來自 DST Root CA X3 的特殊交叉簽章,其有效期限會超過該根憑證的到期日。此例外狀況僅適用於 Android。
您應該怎麼做?對於大多數人來說,什麼都不用做!我們已設定我們的憑證發行方式,讓您的網站在大多數情況下都能正確運作,並且偏好廣泛的相容性。如果您提供 API 或必須支援 IoT 裝置,則需要確保兩件事:(1)您 API 的所有客戶端都必須信任 ISRG Root X1(而不僅僅是 DST Root CA X3),以及(2)如果您的 API 客戶端正在使用 OpenSSL,則 它們必須使用 1.1.0 或更新版本。在 OpenSSL 1.0.x 中,憑證驗證的缺陷表示,即使信任 ISRG Root X1 的客戶端在收到我們預設建議的 Android 相容憑證鏈時,也會失敗。
如果您想要瞭解有關我們持續進行的生產鏈變更的更多資訊,請查看我們社群中的這個討論串。
如果您對即將到期的憑證有任何疑問,請張貼到我們論壇上的這個討論串。