新的一年即將來臨,同時也給Let 's Encrypt證書的用戶帶來了一些不幸的消息:從2021年1月開始,Let 's Encrypt證書的兼容性將會降低,網站所有者和用戶都會受到影響。
Let's Encrypt的根證書即將到期意味著將有三分之一的Android設備將被阻止訪問受Let』s Encrypt SSL證書保護的網站。
這個迫在眉睫的問題是因為Let’s Encrypt不再使用第三方根證書進行交叉籤名的結果。由於根證書的轉換,一些網站訪客將被阻止訪問受Let’s Encrypt證書保護的網站,並且還會收到類似以下內容的錯誤提示:
這當然不是用戶訪問網站時希望看到的東西。同樣地,網站所有者也不希望出現任何會引起對其頁面安全性和信任度的懷疑的內容。
那麼究竟是什麼導致了這個問題的發生呢?誰會受到影響?網站站長又可以採取什麼措施減輕損失呢?
為什麼會出現這個問題?
該問題的起源可以追溯到2015年,當時網際網路安全研究小組(ISRG)及其合作夥伴創立了Let's Encrypt。因為他們自己的根證書可能需要數年時間才能得到所有主要瀏覽器和作業系統的信任,所以他們將證書與現有CA的信任根進行交叉籤名。這是新CA的典型做法,在這種情況下,Let's Encrypt使用由IdenTrust根證書交叉籤名而成的DST Root X3證書。
這樣一來,Let's Encrypt就可以立即開始籤發證書,這些證書也可以在整個網際網路上受到信任。然而,快進到今天,由IdenTrust 根證書籤發的DST Root X3證書越來越接近它的到期日期,即2021年9月30日。
為此,Let's Encrypt發行了自己的根證書ISRG Root X1為到期做好了準備。不幸的是,ISRG Root X1根證書還沒有像即將到期的IdenTrust根那樣完全受信任。
儘管如此,Let 's Encrypt仍將於2021年1月11日開始頒發連結到其ISRG root X1證書的根證書。由於他們自己的根沒有像IdenTrust得到廣泛信任,因此,某些較老平臺上的用戶將被阻止訪問使用Let's Encrypt SSL / TLS證書的網站。
誰將受到影響?
好消息是,此問題主要影響較老的平臺。但壞消息是,仍然有大量的用戶在使用這些平臺。
影響最嚴重的是使用Android 7.1.1或更早版本的用戶。到目前為止,所有Android設備中有33.8%的設備還在運行這些舊版本。每當他們訪問受Let's Encrypt SSL證書保護的網站(目前有2.25億個域屬於此類)時,就會遇到證書錯誤和警告提示,就如上面看到的那樣。
這個根本問題並不是Let's Encrypt證書的錯,準確地說,真正的原因是許多平臺的軟體更新緩慢。
製造商和移動運營商通常在將作業系統加載到自己的設備上並傳遞給終端用戶之前對其進行修改。因此,當 Google 向 Android 發布更新時,製造商和運營商不能簡單地向用戶推送更新。他們必須回去將這些更改合併到自己的專有軟體版本中。大多數時候,除了最新設備外,很多舊設備並沒有這些軟體。大多數時候,特別是對於除了最新設備之外的所有設備,它們都不能做到這一點。在某些情況下,手機硬體甚至不能運行更新的軟體版本。這就是為什麼我們現在有數百萬的Android設備使用過時的作業系統。
較老的Java版本也會受到根證書更改的影響。任何使用1.8.0_141-b15之前Java版本的客戶端在訪問使用Let 's Encrypt證書的網站時也會收到警告和錯誤提示。
到目前為止,這些是我們所知道的主要平臺,但是當根證書到期時,更多的兼容性問題可能會出現在其他平臺上。
建議措施
站長可以使用幾種不同的方法來減輕根證書過期帶來的影響。首先,對於那些還在使用Android舊版本的訪客,你可以提醒他們在訪問您的網站之前將版本升級。他們可以升級Android或將瀏覽器切換到移動版Firefox,這要歸功於Firefox依賴於自己的(定期更新的)根證書列表,而不是作業系統的根證書列表。
雖然這在理論上是一個很好的補救措施,但這個方法可能不是很有效,因為大多數用戶都不願意為了訪問一個網站而升級設備或切換瀏覽器。
您也可以停止對舊版本的支持。然而,這可能會導致用戶受挫,如果有大量用戶使用該舊版本,停止支持將導致網站流量減少從而損失收入。
使用ACME的站長可以修改他們的客戶端設置,以繼續使用交叉籤名的Let's Encrypt證書。然而,這只會維持到2021年9月。不過,它可以為你爭取一些時間來制定長期的解決方案。
不需要用戶端進行任何操作的最實用的解決方案是,將網站SSL證書切換到所有主要平臺(包括舊系統)都信任的根證書的CA。權威的CA頒發的SSL證書已經使用它們自己的受信任根很多年了,並使用它們自己的舊根進行交叉籤名,以確保完全兼容性。
提示:如果你不清楚這將對您的網站用戶有多少影響,你可以使用谷歌分析來確定您的網站有多少用戶還在使用Android 7.1.1或更早版本。
寫在最後
Let’s Encrypt證書將很快開始使用它們新的、不那麼可信的根證書,所以最好儘快弄清楚如何不受此影響,特別是近三分之一的Android設備。沒有什麼選擇是完美的。您可以把這個問題推給您的用戶,但是您得靠他們自己升級設備,否則他們將被阻止訪問您的網站。或者,您可以將SSL證書切換到具有在新舊設備上都完全受信任的根的CA。這就需要您做些努力,以繼續維護您網站與用戶之間的信任。不管怎樣,請確保您為1月11日做好了準備!
本文轉載於https://www.racent.com/blog/lets-encrypt-warns-of-reduced-compatibility-beginning-january-2021