在 **2024 年 6 月 6 日星期四**,我们将切换发行以使用我们的 新的中间证书。同时,我们将从我们的 API 中删除 DST Root CA X3 跨签名,这与我们缩短 Let's Encrypt 信任链的策略一致。我们将开始从默认链中发行 ECDSA 终端实体证书,该链仅包含一个 ECDSA 中间证书,从而删除第二个中间证书以及从 RSA 中间证书发行 ECDSA 终端实体证书的选项。Let's Encrypt 暂存环境将在 2024 年 4 月 24 日进行等效的更改。

**大多数 Let's Encrypt 订阅者无需采取任何措施**来应对此更改,因为像 certbot 这样的 ACME 客户端将在证书续订时自动配置新的中间证书。将受到影响的订阅者是当前固定中间证书的人(稍后会详细介绍)。

下图显示了新的层次结构。您可以在我们的 更新的信任链文档页面 上查看所有证书的详细信息。

Let’s Encrypt 2024 Ceremony

新的中间证书

今年早些时候,Let's Encrypt 生成了 新的中间密钥和证书。它们将替换当前的中间证书,这些中间证书是在 2020 年 9 月发行的,即将到期。

所有证书(由 RSA 和 ECDSA 中间证书颁发)都将使用默认链 ISRG Root X1 → (RSA 或 ECDSA) 中间证书 → 终端实体证书 提供服务。也就是说,所有证书,无论您选择使用 RSA 还是 ECDSA 终端实体证书,都将具有一个由 ISRG Root X1 直接签名的中间证书,ISRG Root X1 是 Let's Encrypt 最广泛信任的根证书。

新的 ECDSA 中间证书还将具有一个备用链 ISRG Root X2: ISRG Root X2 → ECDSA 中间证书 → 终端实体证书。这仅适用于少量希望尽可能缩短 TLS 握手的订阅者。要使用此 ECDSA 专用链,请参阅您的 ACME 客户端文档了解如何请求备用链。RSA 中间证书将没有任何备用链。

重要的是要注意,现在将同时存在多个活动 RSA 和两个活动 ECDSA 中间证书。RSA 叶证书可能由任何活动 RSA 中间证书签名(证书颁发者通用名字段中的值从“R10”到“R14”),ECDSA 叶证书可能由任何活动 ECDSA 中间证书签名(“E5”到“E9”)。同样,您的 ACME 客户端应该自动处理此问题。

证书颁发机构的中间证书每隔几年就会到期,需要像网站证书一样定期续订。展望未来,Let's Encrypt 打算每年切换使用的中间证书,这将有助于提高证书的整体安全性。

删除 DST Root CA X3 跨签名

新的中间证书链将不包括 DST Root CA X3 跨签名,正如我们之前在关于 缩短 Let's Encrypt 信任链 的帖子中宣布的那样。通过消除跨签名,我们使证书更精简、更高效,从而为互联网用户带来更快的页面加载速度。我们已于 2024 年 2 月 8 日停止在默认证书链中提供跨签名,因此,如果您的 ACME 客户端没有明确请求带有 DST Root CA X3 的链,那么这将不会对您造成任何改变。

ECDSA 中间证书作为 ECDSA 证书的默认值

目前,ECDSA 终端实体证书由我们的 RSA 中间证书签名,除非用户通过请求表单选择使用我们的 ECDSA 中间证书。使用我们的新中间证书,我们将开始从 ECDSA 中间证书颁发所有 ECDSA 终端实体证书。请求表单和允许列表将不再使用,我们曾经引入它来使 ECDSA 中间证书可用

之前,默认的 ECDSA 链包含两个中间证书:E1 和跨签名 ISRG Root X2(即 ISRG Root X1 → ISRG Root X2 → E1 → 终端实体证书)。更改后,它将仅包含一个中间证书:由 ISRG Root X1 跨签名的我们新的 ECDSA 中间证书的版本之一(即 ISRG Root X1 → E5 → 终端实体证书)。这确保了我们所有中间证书,包括 RSA 和 ECDSA,都由我们最广泛信任的 ISRG Root X1 直接签名。

我们预计此更改将使大多数用户受益,他们将拥有更小的 TLS 握手。如果出现与 ECDSA 中间证书的兼容性问题,我们建议 Let's Encrypt 用户切换到 RSA 证书。Android 7.0 已知存在一个错误,阻止它与大多数椭圆曲线 (EC) 证书(包括我们的 ECDSA 中间证书)配合使用;但是,该版本的 Android 不信任我们的 ISRG Root X1,因此已经不兼容。

固定或硬编码中间证书的风险

我们不建议固定或以其他方式硬编码中间证书或根证书。 固定中间证书尤其不建议,因为它们经常更改。如果您确实固定中间证书,请确保您拥有完整的新中间证书集(此处提供)。

有问题吗?

我们感谢数百万信任我们执行最佳实践以使网络更加安全和尊重隐私的订阅者,更频繁地轮换中间证书就是其中之一。我们还要感谢我们伟大的社区和使这项工作成为可能的资助者。如果您对这次过渡或我们所做的其他工作有任何疑问,请在我们的 社区论坛 上提问。

为了提供我们的服务,我们依靠支持者的贡献。如果您的公司或组织可以通过成为 Let's Encrypt 的赞助商 来帮助我们的工作,请发送电子邮件至 sponsor@letsencrypt.org。如果您能力范围内,我们请您进行 个人捐款