Lets Encrypt安卓证书链问题已经解决 将继续为安卓旧版提供三年支持
Let's Encrypt让我们加密吧是全球最为知名的证书颁发机构,就目前来说这家证书颁发机构也是全球使用量最大的证书颁发平台,其提供的免费证书在数以千万计的网站上运行,为网站和用户提供加密访问以确保数据不会遭到泄露。不得不说该项目是造福整个互联网的免费项目,这需要感谢Mozilla基金会和项目的主要赞助商们。
不过该项目将在明年秋季更换新的根证书,此次更换根证书预计可能会造成大量网站无法正常访问,受影响的主要是安卓系统,具体来说主要影响的是Android 7.1及以下系统,因为这些系统无法兼容Let's Encrypt即将更换的根证书导致证书校验失败,校验失败后将会影响用户的正常访问。
无法校验的原因在于Let's Encrypt运营实体ISRG准备推出自己的品牌数字证书ISRG ROOT CA X1,但这个数字证书无法获得安卓旧版本的认证,因为这些安卓旧版本已经失去谷歌和制造商的支持无法及时更新证书库,因此理论上说Android 7.1及以下版本都无法兼容ISRG ROOT CA X1证书,这将影响全球大量网站的正常访问。
好消息是目前此问题已经被解决,而解决方案也倒是非常有趣,原本为ISRG提供证书的IdenTrust已经同意再续签三年的交叉验证,这意味着旧证书DST ROOT CA X3 - ISRG ROOT X1证书将可以继续使用三年,也就是对Android 7.1及以下版本再提供三年支持。
在三年后交叉验证将会彻底结束,不过到时候这些旧的安卓设备可能已经逐渐被用户放弃,不会产生太大的负面影响。