上次更新: | 查看所有文档
2024 年 2 月 5 日更新 已经过去两年了,下面提到的 Android 兼容性交叉签名即将过期。查看我们最近的博客文章,详细了解 2024 年将要发生的更改。
2021 年 9 月 30 日更新 按照计划,DST 根证书 X3 交叉签名已过期,我们现在使用自己的 ISRG 根证书 X1 来在几乎所有设备上建立信任。有关该计划的更多详细信息,请继续阅读!我们还在社区论坛上更新了我们的生产链更改主题 - 我们的团队和社区随时准备帮助您解答有关此过期日期的任何问题。
2021 年 9 月 30 日,旧版浏览器和设备信任 Let's Encrypt 证书的方式将发生一些细微变化。如果您运行的是普通网站,您不会注意到任何区别 - 绝大多数访问者仍然会接受您的 Let's Encrypt 证书。如果您提供 API 或必须支持物联网设备,您可能需要多加注意此更改。
Let's Encrypt 拥有一个名为根证书,名为ISRG 根证书 X1。现代浏览器和设备信任您网站上安装的 Let's Encrypt 证书,因为它们在其根证书列表中包含 ISRG 根证书 X1。为了确保我们发行的证书在较旧的设备上受信任,我们还从一个较旧的根证书获得了“交叉签名”:DST 根证书 X3。
在我们刚开始的时候,那个较旧的根证书 (DST 根证书 X3) 帮助我们起步,并立即获得几乎所有设备的信任。现在,较新的根证书 (ISRG 根证书 X1) 也被广泛信任 - 但一些较旧的设备永远不会信任它,因为它们无法获得软件更新(例如,iPhone 4 或 HTC Dream)。点击此处查看哪些平台信任 ISRG 根证书 X1。
DST 根证书 X3 将于 2021 年 9 月 30 日过期。这意味着那些不信任 ISRG 根证书 X1 的较旧设备在访问使用 Let's Encrypt 证书的网站时,将开始收到证书警告。有一个重要的例外:那些不信任 ISRG 根证书 X1 的旧版 Android 设备将继续使用 Let's Encrypt,这要归功于 DST 根证书 X3 的特殊交叉签名,该签名将一直延续到该根证书过期后。此例外仅适用于 Android。
您应该怎么做?对于大多数人来说,什么都不用做!我们已经设置了证书签发,以便您的网站在大多数情况下能够正常运行,优先考虑广泛的兼容性。如果您提供 API 或必须支持物联网设备,您需要确保两件事:(1) 您的 API 的所有客户端都必须信任 ISRG 根证书 X1(而不仅仅是 DST 根证书 X3),以及 (2) 如果您的 API 的客户端使用 OpenSSL,它们必须使用 1.1.0 或更高版本。在 OpenSSL 1.0.x 中,证书验证中的一个怪癖意味着即使信任 ISRG 根证书 X1 的客户端在呈现我们默认推荐的 Android 兼容证书链时也会失败。
如果您想了解更多有关我们持续进行的生产链更改的信息,请查看我们社区中的这个主题。
如果您对即将到来的过期日期有任何疑问,请在我们的论坛上发布到此主题。