由社区控制并向所有人免费提供证书的非商业证书颁发机构Let's Encrypt已宣布即将过渡到仅使用其自己的根证书而不使用IdenTrust证书颁发机构交叉签名的证书来生成签名的过渡。交叉签名的证书将于2021年9月1日到期。这意味着33%的Android设备将停止识别Let's Encrypt证书。
所有现代浏览器均支持“让我们加密”根证书,但只有2016年末发布的Android 7.1.1才认可该证书。但是,根据现有统计数据,所有Android设备中仅使用62.1%的Android 7.1和更高版本。因此,有33.8%的活动Android设备未安装“让我们加密”根证书。交叉签名的证书过期后,尝试在此类设备上使用“让我们加密”证书打开站点时将显示错误。估计使用该交叉签名证书的Android设备的份额约为大型网站受众的1%到5%。
让我们加密无意形成新的交叉签名协议。
CA对另一个CA的证书进行交叉签名是很大的风险,因为它们将对CA所做的一切负责。这也意味着交叉签名的接收者必须遵循交叉签名CA规定的所有程序。对我们而言,能够独立站立很重要。另外,Android更新问题似乎并没有消失。如果我们致力于支持旧的Android版本,那么我们将致力于无限期地寻求其他CA的交叉签名。
从2021年1月11日开始,将对Let's Encrypt API进行更改。默认情况下,将向ACME客户颁发ISRG Root X1认证的证书,且不带交叉签名。对兼容性感兴趣的用户将有机会请求根据旧的交叉验证方案认证的替代证书,但此类证书仍受交叉签名的根证书的生存期的限制(2021年9月1日)。
作为解决方案,建议使用旧版Android设备的用户切换到Firefox浏览器,该浏览器具有自己的最新根证书存储。但是Firefox不支持Android 4.x(约占活跃Android设备的2%),并且只能在Android 5.0或更高版本上运行。鼓励尚未准备好与旧版Android智能手机失去兼容性的网站所有者,可以通过HTTP处理来自旧版Android设备的请求,或切换到使用旧版Android支持的CA。