由社區(qū)控制并向所有人免費(fèi)提供證書的非商業(yè)證書頒發(fā)機(jī)構(gòu)Let's Encrypt已宣布即將過渡到僅使用其自己的根證書而不使用IdenTrust證書頒發(fā)機(jī)構(gòu)交叉簽名的證書來生成簽名的過渡。交叉簽名的證書將于2021年9月1日到期。這意味著33%的Android設(shè)備將停止識別Let's Encrypt證書。

所有現(xiàn)代瀏覽器均支持“讓我們加密”根證書，但只有2016年末發(fā)布的Android 7.1.1才認(rèn)可該證書。但是，根據(jù)現(xiàn)有統(tǒng)計數(shù)據(jù)，所有Android設(shè)備中僅使用62.1%的Android 7.1和更高版本。因此，有33.8%的活動Android設(shè)備未安裝“讓我們加密”根證書。交叉簽名的證書過期后，嘗試在此類設(shè)備上使用“讓我們加密”證書打開站點時將顯示錯誤。估計使用該交叉簽名證書的Android設(shè)備的份額約為大型網(wǎng)站受眾的1%到5%。

讓我們加密無意形成新的交叉簽名協(xié)議。

CA對另一個CA的證書進(jìn)行交叉簽名是很大的風(fēng)險，因為它們將對CA所做的一切負(fù)責(zé)。這也意味著交叉簽名的接收者必須遵循交叉簽名CA規(guī)定的所有程序。對我們而言，能夠獨(dú)立站立很重要。另外，Android更新問題似乎并沒有消失。如果我們致力于支持舊的Android版本，那么我們將致力于無限期地尋求其他CA的交叉簽名。

從2021年1月11日開始，將對Let's Encrypt API進(jìn)行更改。默認(rèn)情況下，將向ACME客戶頒發(fā)ISRG Root X1認(rèn)證的證書，且不帶交叉簽名。對兼容性感興趣的用戶將有機(jī)會請求根據(jù)舊的交叉驗證方案認(rèn)證的替代證書，但此類證書仍受交叉簽名的根證書的生存期的限制(2021年9月1日)。

作為解決方案，建議使用舊版Android設(shè)備的用戶切換到Firefox瀏覽器，該瀏覽器具有自己的最新根證書存儲。但是Firefox不支持Android 4.x(約占活躍Android設(shè)備的2%)，并且只能在Android 5.0或更高版本上運(yùn)行。鼓勵尚未準(zhǔn)備好與舊版Android智能手機(jī)失去兼容性的網(wǎng)站所有者，可以通過HTTP處理來自舊版Android設(shè)備的請求，或切換到使用舊版Android支持的CA。