Lets Encrypt将在明年更换证书 可能会影响大量安卓用户正常访问网站

Let's Encrypt让我们加密吧是全球最为知名的证书颁发机构,就目前来说这家证书颁发机构也是全球使用量最大的证书颁发平台,其提供的免费证书在数以千万计的网站上运行,为网站和用户提供加密访问以确保数据不会遭到泄露。不得不说该项目是造福整个互联网的免费项目,这需要感谢Mozilla基金会和项目的主要赞助商们。

不过该项目将在明年秋季更换新的根证书,此次更换根证书预计可能会造成大量网站无法正常访问,受影响的主要是安卓系统,具体来说主要影响的是Android 7.1及以下系统,因为这些系统无法兼容Let's Encrypt即将更换的根证书导致证书校验失败,校验失败后将会影响用户的正常访问。

Let's Encrypt将在明年更换证书 可能会影响大量安卓用户正常访问网站

为什么要更换根证书:

Let's Encrypt项目自2015年上线运行时就没有自己的根证书,其主要靠的是IdenTrust提供的交叉签名验证,这个交叉签名可以保证在所有平台上DST ROOT CA X3证书可以被信任。不过在2021年9月,ISRG(即Let's Encrypt项目的运营方)将不再与IdenTrust进行续签,停止续签意味着交叉签名验证也将停止。

ISRG将会推出自己的根证书ISRG ROOT CA X1,有了这款根证书Let's Encrypt项目将有能力提供任何可靠的证书,目前新的根证书已经被Windows、Linux、iOS、Android和Firefox平台接受,因此在更换证书后这些平台依然可以继续进行验证,对网站管理员来说到时候证书自动续签时会更换新证书,也不会影响大多数用户的访问。

ISRG并未说明为何会停止与IdenTrust进行合作,但毕竟现在ISRG准备使用自己的根证书那也是个不错的发展方向,毕竟作为顶级证书颁发机构长期没有自己的ROOT证书也确实是个问题。

然而会产生一些兼容问题:

ISRG准备的新证书已经获得所有平台的认证,只是略显遗憾的是由于Android平台的碎片化问题,大量制造商在安卓设备里会使用修改版的安卓系统,而这些制造商并不会及时为安卓设备提供新版本支持,这导致目前全球有大量安卓设备仍然是旧版本的,这些旧版本谷歌已经无法控制,而设备制造商也不愿意再投入时间和金钱去发布更新。

这些运行旧版安卓系统的设备也无法更新系统内置的根证书库,Android 7.1及以下版本都将无法兼容ISRG ROOT CA X1证书,这意味着在明年秋季Let's Encrypt更换证书后,Android 7.1及以下版本的设备将无法正常访问使用Let's Encrypt证书加密的网站。

统计数据显示运行Android 7.1及以下版本的设备占比约为33.8%,ISRG调查后发现这些设备访问网站的流量比在1~5%之间,尽管到明年该数字可能还会下降但可能并不会下降多少,这意味着这个兼容性问题并不容易解决。

网站管理员需要使用旧的兼容证书:

作为应对办法Let's Encrypt将提供旧的DST ROOT CA X3证书进行过渡,这需要网站管理员自己使用ACME客户端进行调整,如果不调整的话可能会影响极少部分用户的访问。ISRG并不赞成网站使用旧的兼容证书,ISRG推荐网站提醒用户使用安卓火狐浏览器,火狐浏览器自带证书库可以很方便的更新,因此也是兼容ISRG ROOT CA X1的。

安卓版火狐浏览器支持Android 5.0及以上版本,至于Android 4.4及以下版本用户可能无法安装,到时候可能会影响用户的正常访问。尽管这些兼容性问题可能会带来困难,但新旧产品过渡是不可避免的,只能期望旧版安卓设备会尽快被新版本替代掉。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

6 条评论,访客:6 条,站长:0 条
  1. Chrefox
    Chrefox发布于: 
    Chromium Edge 88.0.692.0 Chromium Edge 88.0.692.0 Windows 10 64位版 Windows 10 64位版

    好家伙,我用来当测试机的畅玩5终于要退役了

  2. Innocence Eyes
    Innocence Eyes发布于: 
    蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

    前段时间谷歌决定给chrome设计自己的根证书系统也是受这个影响吧

  3. MineTestGaming
    MineTestGaming发布于: 
    Google Chrome 86.0.4240.185 Google Chrome 86.0.4240.185 Android 7.0 Android 7.0

    可以提供证书让用户手动安装啊

    • Innocence Eyes
      Innocence Eyes发布于: 
      蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

      虽然看着很简单,很多人根本做不来这个的

      • 木头科学二百五
        木头科学二百五发布于: 
        Chromium Edge 88.0.692.0 Chromium Edge 88.0.692.0 Windows 10 64位版 Windows 10 64位版

        做不来就别抱残守缺用老设备,老老实实花钱卖服务让别人搞定。

发表评论