通知 從2021年1月起Let's Encrypt SSL證書兼容性將降低

2020-12-25 銳成信息

新的一年即將來臨,同時也給Let 's Encrypt證書的用戶帶來了一些不幸的消息:20211月開始,Let 's Encrypt證書的兼容性將會降低,網站所有者和用戶都會受到影響。

Let's Encrypt的根證書即將到期意味著將有三分之一的Android設備將被阻止訪問受Lets Encrypt SSL證書保護的網站。

這個迫在眉睫的問題是因為Let’s Encrypt不再使用第三方根證書進行交叉籤名的結果。由於根證書的轉換,一些網站訪客將被阻止訪問受Let’s Encrypt證書保護的網站,並且還會收到類似以下內容的錯誤提示:

這當然不是用戶訪問網站時希望看到的東西。同樣地,網站所有者也不希望出現任何會引起對其頁面安全性和信任度的懷疑的內容。

那麼究竟是什麼導致了這個問題的發生呢?誰會受到影響?網站站長又可以採取什麼措施減輕損失呢?

為什麼會出現這個問題?

該問題的起源可以追溯到2015年,當時網際網路安全研究小組(ISRG)及其合作夥伴創立了Let's Encrypt。因為他們自己的根證書可能需要數年時間才能得到所有主要瀏覽器和作業系統的信任,所以他們將證書與現有CA的信任根進行交叉籤名。這是新CA的典型做法,在這種情況下,Let's Encrypt使用由IdenTrust根證書交叉籤名而成的DST Root X3證書。

這樣一來,Let's Encrypt就可以立即開始籤發證書,這些證書也可以在整個網際網路上受到信任。然而,快進到今天,由IdenTrust 根證書籤發的DST Root X3證書越來越接近它的到期日期,即2021年9月30日。

(由IdenTrust提供的根證書即將到期)

為此,Let's Encrypt發行了自己的根證書ISRG Root X1為到期做好了準備。不幸的是,ISRG Root X1根證書還沒有像即將到期的IdenTrust根那樣完全受信任。

儘管如此,Let 's Encrypt仍將於2021111開始頒發連結到其ISRG root X1證書的根證書。由於他們自己的根沒有像IdenTrust得到廣泛信任,因此,某些較老平臺上的用戶將被阻止訪問使用Let's Encrypt SSL / TLS證書的網站。

誰將受到影響?

好消息是,此問題主要影響較老的平臺。但壞消息是,仍然有大量的用戶在使用這些平臺。

影響最嚴重的是使用Android 7.1.1或更早版本的用戶。到目前為止,所有Android設備中有33.8%的設備還在運行這些舊版本。每當他們訪問受Let's Encrypt SSL證書保護的網站(目前有2.25億個域屬於此類)時,就會遇到證書錯誤和警告提示,就如上面看到的那樣。

這個根本問題並不是Let's Encrypt證書的錯,準確地說,真正的原因是許多平臺的軟體更新緩慢

製造商和移動運營商通常在將作業系統加載到自己的設備上並傳遞給終端用戶之前對其進行修改。因此,當 Google 向 Android 發布更新時,製造商和運營商不能簡單地向用戶推送更新。他們必須回去將這些更改合併到自己的專有軟體版本中。大多數時候,除了最新設備外,很多舊設備並沒有這些軟體。大多數時候,特別是對於除了最新設備之外的所有設備,它們都不能做到這一點。在某些情況下,手機硬體甚至不能運行更新的軟體版本。這就是為什麼我們現在有數百萬的Android設備使用過時的作業系統。

較老的Java版本也會受到根證書更改的影響。任何使用1.8.0_141-b15之前Java版本的客戶端在訪問使用Let 's Encrypt證書的網站時也會收到警告和錯誤提示。

到目前為止,這些是我們所知道的主要平臺,但是當根證書到期時,更多的兼容性問題可能會出現在其他平臺上。

建議措施

站長可以使用幾種不同的方法來減輕根證書過期帶來的影響。首先,對於那些還在使用Android舊版本的訪客,你可以提醒他們在訪問您的網站之前將版本升級。他們可以升級Android或將瀏覽器切換到移動版Firefox,這要歸功於Firefox依賴於自己的(定期更新的)根證書列表,而不是作業系統的根證書列表。

雖然這在理論上是一個很好的補救措施,但這個方法可能不是很有效,因為大多數用戶都不願意為了訪問一個網站而升級設備或切換瀏覽器。

您也可以停止對舊版本的支持。然而,這可能會導致用戶受挫,如果有大量用戶使用該舊版本,停止支持將導致網站流量減少從而損失收入。

使用ACME的站長可以修改他們的客戶端設置,以繼續使用交叉籤名的Let's Encrypt證書。然而,這只會維持到2021年9月。不過,它可以為你爭取一些時間來制定長期的解決方案。

不需要用戶端進行任何操作的最實用的解決方案是,將網站SSL證書切換到所有主要平臺(包括舊系統)都信任的根證書CA權威的CA頒發的SSL證書已經使用它們自己的受信任根很多年了,並使用它們自己的舊根進行交叉籤名,以確保完全兼容性。

提示:如果你不清楚這將對您的網站用戶有多少影響,你可以使用谷歌分析來確定您的網站有多少用戶還在使用Android 7.1.1或更早版本。

寫在最後

Let’s Encrypt證書將很快開始使用它們新的、不那麼可信的根證書,所以最好儘快弄清楚如何不受此影響,特別是近三分之一的Android設備。沒有什麼選擇是完美的。您可以把這個問題推給您的用戶,但是您得靠他們自己升級設備,否則他們將被阻止訪問您的網站。或者,您可以將SSL證書切換到具有在新舊設備上都完全受信任的根的CA。這就需要您做些努力,以繼續維護您網站與用戶之間的信任。不管怎樣,請確保您為1月11日做好了準備!

本文轉載於https://www.racent.com/blog/lets-encrypt-warns-of-reduced-compatibility-beginning-january-2021

相關焦點

  • Let's Encrypt證書問題已解決:舊版Android設備不受明年調整影響
    由於 IdenTrust 提供的 DST Root X3 根證書將於 2021 年 9 月 1 日到期,上月初 Let's Encrypt(大型非營利性證書頒發機構之一)宣布將過渡到自己的名為 ISRG Root X1 的根證書上。
  • 安卓7.1及更老系統將於明年1月起被停止證書籤名
    驅動中國2020年11月9日消息 你的安卓手機現在的系統底層版本是什麼?如果是比Android 7.1.1還要早的系統版本,那麼可得當心了,否則的話連網頁可能都打不開。
  • Digicert以及子品牌geotrust和rapidssl https加密證書類型
    SSL證書通常分為dvssl證書,ovssl證書和evssl證書,Digicert以及子品牌geotrust和rapidssl證書類型以及為什麼價格差異那麼多,SSL盾小編為您做下講解ssl證書一 digicert收購symantec證書業務只有,針對域名的證書有ov證書和ev證書,以及安全站點ov證書和安全站點ev證書
  • 人社部緊急通知!停止備考,證書取消!這76種證書將被分步取消!年底...
    再例如,根據去年5月份,國務院就印發了一份《職業技能提升行動方案(2019—2021年)》: 勞動者取得證書(職業資格證書、職業技能等級證書、專項職業能力證書、特種作業操作證書、培訓合格證書等)的,按規定給予補貼,原則上每人每年可享受不超過3次,同一職業同一等級不可重複享受。
  • 加彭將自2021年1月1日起強制對進口商品進行合規認證
    2020年12月18日,加彭國家標準化委員會(AGANOR)在當地主要媒體發布公告, 2020年7月16日頒布的1080-20號法令將於2021年1月1日起生效。該法令要求對加彭進口商品必須進行合規認證。
  • 陝西發布2020年8-9月份(部分)補辦安全資格證書領取通知
    2020年8-9月份(部分)補辦資格證書領取通知  各位考生:  現就2020年8-9月份(部分)補辦資格證書領取事項通知如下:  一、考生證書領取注意事項  考生可根據本人需求選取郵寄或窗口領取的方式。  郵寄領取只限於有管理號的證書。
  • 2021年3月全國計算機等級考試(NCRE)報名通知
    在正式報名之前你需要了解的資訊還有很多,包括:考試介紹、證書用途、級別設置、適報科目、難易程度、通過率情況,還有報名條件、網報入口、報名流程、報名費用、考試軟體、考試系統等等問題……2021年全國計算機等級考試(NCRE)將舉辦四次考試,時間分別為
  • 2021年1月1日起執行!(附最新電價表)
    近日國網山東電力微信公眾號發布山東電價調整, 從2021年1月1日起執行的消息11月25日,山東發改委出臺《關於山東電網2020-2022年輸配電價和銷售電價有關事項的通知自2021年1月1日起,降低山東電網工商業及其他用電(兩部制)銷售電價和輸配電價,並對峰谷分時電價時段進行了優化。
  • 2021年3月英語等級考試將於1.5-7日報名!
    二、報名時間及方式 2021年上半年PETS報名時間為:2021年1月5日9:00-1月7 2.考生須在2021年1月5日9:00-1月7日16:00時間內使用ETEST通行證帳號,登錄中國教育考試網PETS頁面(http://pets.neea.edu.cn)點擊「在線報名」進行報名並完成網上繳費。
  • 關注| 2021年1月1日起,UKCA標誌將正式使用
    關注 | 2021年1月1日起,UKCA標誌將正式使用 2020-12-21 20:00 來源:澎湃新聞·澎湃號·媒體
  • 2021年1月4日零時起,停止運營!
    尊敬的市民朋友:2014年,我市建設公共自行車服務系統,為市民綠色出行提供了便利。現由於共享單車的引入,公共自行車存在設備老化、數據傳輸系統不穩定等問題,經請示上級主管部門,我市市區(海陵區、醫藥高新區)公共自行車將於2021年1月4日零時起停止運營。
  • PHP使用curl報錯SSL certificate problem: unable to get local...
    出錯原因錯誤提示:SSL certificate problem: unable to get local issuer certificate是在使用 curl 時出錯,意思是「SSL證書問題:無法獲取本地頒發者證書」。
  • 2021年1月1日起 成都將進一步提高孤兒保障水平
    記者從成都市民政局獲悉,1月1日起,成都市孤兒基本生活養育、成年後社會化安置和醫療救助保障等方面將實施新的保障標準和保障政策,孤兒保障水平進一步得到提高。按照孤兒基本生活最低養育標準自然增長機制,2021年成都市福利機構養育孤兒最低養育標準由每人每月1800元調整為每人每月1980元,社會散居孤兒最低養育標準由每人每月1200元調整為每人每月1350元。
  • SSL證書信任秘密
    如果你正在了解SSL證書基本知識或者申請SSL證書前面幾分鐘,那這篇文章更好的幫助你。我將以最簡單的方式來讓你快速了解SSL證書,更好地掌握SSL證書的秘密。證書鏈CA根證書是指真正的頒發機構,也就是信任原,如果該證書不在瀏覽器或者作業系統信任範圍,那麼將該證書就不作為信任證書。
  • 2021年1月外貿新規政策總匯
    2021年起,一系列的外貿新規正式開始實施。本文將為大家奉上一份開始實施的外貿新規清單,帶領大家快速把握外貿規定新動態! 海關總署全面推廣「兩段準入」 2020年12月22日,單一窗口再發布通知,自2020年12月22日,海關總署全面推廣「兩段準入」信息化監管。
  • Let's Encrypt 等獲得 2019 年的自由軟體獎
    社會公益項目獎授予了 Let's Encryp 項目,此前獲得該獎的項目包括了 OpenStreetMap 和 Public Lab。Let's Encryp 項目旨在讓每一個網站都能啟用加密,項目執行總監 Josh Aas 表示,沒有隱私就沒有自由,隨著 Web 日益成為人們生活的中心,確保百分之一百加密和尊重隱私對一個自由健康的社會至關重要。
  • 2021年各地工商業電價調整,1月1日起執行!
    3、自2021年1月1日起,降低山東電網工商業及其他用電(兩部制)目錄電價。 4、安徽省兩部制1-10千伏、35千伏、110千伏、220千伏目錄電價每千瓦時分別降低3.46分、4.46分、5.46分、6.96分。
  • 寧夏2020年12月全國計算機等級考試報名通知
    2020年12月計算機等級考試報名入口報名時間通知匯總2020年12月全國計算機等級考試(簡稱NCRE)報名工作將於2020年11月4日09:00時開始。現將本次考試報名有關事項通知如下。一、報名條件1.報名者不受年齡、職業、民族、學歷等限制,均可根據自己學習情況和實際能力選考相應的級別和科目。
  • 英語常用句型介紹:Let's drink to……
    今天來說說:Let's drink to... 讓我們為……乾杯在「Let's drink to...」這個句型中,這是帶有第一人稱主語的祈使句。「let」為引導詞,「us」是代詞賓格,「drink」是動詞原形。
  • 人社局通知消防證書補貼標準上浮30%
    》(人社部發〔2019〕23號,以下簡稱「23號文件」)和《市人社局關於明確部分專業技術人員職業資格與職稱對應關係的通知》(津人社辦發〔2019〕96號,以下簡稱「96號文件」),結合工作實際,現就有關問題通知如下: 一、申請條件 符合以下條件的本市在職參保職工,可自證書核發之日起12個月內,申請學歷提升補貼或職稱提升補貼