DST Root CA X3 到期(2021年9月)

最近更新: | 所有文档

2024 年 2 月 5 日更新:经过了两年的时间,下文所述用于兼容 Android 的交叉签名也已临近到期。 请参阅我们近期的博客文章详细了解 2024 年将要发生的变化。

2021 年 9 月 30 日更新:DST Root CA X3 的交叉签名已如期失效,现在几乎所有设备的证书信任都由我们自己的 ISRG Root X1 根证书实现。 详细计划,请见下文! 我们也在社群论坛上更新了关于生产环境证书链变化的讨论帖,如果您对此有任何疑问,我们的团队和社群都将倾力相助

2021年9月30日,旧浏览器和设备信任Let’s Encrypt 证书的方式会有一些微小的变化。 如果您运行的是一个常规的网站, 您不会注意到任何变化,绝大多数访客仍然会接受您的 Let’s Encrypt 证书。 如果您提供 API 或必须支持物联网设备,您可能需要多注意更改。

Let’s Encrypt 有个名为 ISRG Root X1 的"根证书" 。 现代浏览器和设备信任安装在您网站上的 Let’s Encrypt 证书,因为它们的根证书列表中包含 ISRG Root X1。 为了确保我们颁发的证书在旧设备上受信任,我们还拥有来自旧根证书的“交叉签名”:DST Root CA X3。

当我们开始签发时,旧的根证书 (DST Root CA X3) 帮助我们起步并立即受到几乎所有设备的信任。 较新的根证书 (ISRG Root X1) 现在也受到广泛信任 - 但一些较旧的设备永远不会信任它,因为它们没有获得软件更新(例如,iPhone 4 或 HTC Dream)。 点击这里查看信任 ISRG Root X1 的平台

DST Root CA X3 将于2021年9月30日到期。 这意味着那些不信任 ISRG Root X1 的旧设备在访问使用 Let’s Encrypt 证书的网站时将会得到证书过期警告。 有一个重要的例外:不信任 ISRG Root X1 的旧 Android 设备将能够继续正常访问使用 Let’s Encrypt 证书加密的网站, 感谢来自 DST Root CA X3的特殊交叉签名延长了该根证书的到期时间。 此例外仅适用于 Android 。

我应该怎么办? 对于大多数人来说,什么都不用做! 我们已经用有利于广泛兼容的方式设置了我们的证书颁发服务,所以您的网站将在大多数情况下正常运行。 如果您提供 API 服务或必须支持 IoT 设备,则需要确保两件事:(1) API 服务的所有客户端都必须信任 ISRG Root X1 (而不仅仅信任 DST Root CA X3),以及 (2) 如果您的 API 的客户端使用 OpenSSL,它们必须使用 1.1.0 或更高版本。 在 OpenSSL 1.0.x 版本中 ,证书验证时有个奇怪现象:当使用我们默认推荐的兼容 Android 的证书链时,即使客户端信任 ISRG Root X1 ,也会出现证书错误。

如果你想要了解我们正在进行的生产环境证书链更改的更多信息,请在我们的社区中查看这个帖子

如果您对即将来临的证书过期有任何疑问,请在我们的论坛的此话题下留言。