The Cloudflare Blog
·
Let’s Encrypt证书链即将更改及其对Cloudflare客户的影响
内容提要
Let's Encrypt将于2024年停止使用与IdenTrust交叉签名的证书链,而改用自己的根CA。这将影响一些旧设备和系统,如Android 7.1.1或更早版本的设备。建议更新信任存储以包含ISRG Root X1,移除或更新证书固定。此举将推动设备、浏览器和客户端支持适应性信任存储,为新的证书颁发机构铺平道路。
关键要点
-
Let's Encrypt将于2024年停止使用与IdenTrust交叉签名的证书链,改用自己的根CA ISRG Root X1。
-
此变更将影响旧设备和系统,如Android 7.1.1及更早版本,可能会遇到TLS错误或警告。
-
超过93.9%的Android设备已信任ISRG Root X1,预计2024年这一比例将进一步增加。
-
建议更新信任存储以包含ISRG Root X1,并移除或更新证书固定,以减少影响。
-
如果使用Advanced Certificate Manager或SSL for SaaS的企业计划,可以选择使用Google Trust Services作为证书颁发机构。
-
Cloudflare支持Let's Encrypt的变更,认为这将推动更安全和灵活的互联网。
-
回顾过去,免费证书的缺乏曾阻碍TLS的普及,Cloudflare的Universal SSL改变了这一局面。
-
支持新安全标准和协议对于改善互联网至关重要,Let's Encrypt的推出使得每个域名都能免费获得TLS证书。
-
通过退休交叉签名链,Let's Encrypt推动设备、浏览器和客户端支持适应性信任存储,为新证书颁发机构的出现铺平道路。
-
新证书颁发机构需要多年才能获得广泛信任,Let's Encrypt的变更旨在加速这一过程。
延伸问答
Let's Encrypt的证书链变更会对哪些设备产生影响?
主要影响Android 7.1.1及更早版本的设备,这些设备依赖于交叉签名链,缺乏ISRG Root X1的信任。
如何减少Let's Encrypt证书链变更对客户的影响?
建议更新信任存储以包含ISRG Root X1,并移除或更新证书固定。
Let's Encrypt为何要停止使用与IdenTrust的交叉签名?
为了推动设备、浏览器和客户端支持适应性信任存储,并为新证书颁发机构铺平道路。
Cloudflare如何支持Let's Encrypt的变更?
Cloudflare支持这一变更,认为它将推动更安全和灵活的互联网。
ISRG Root X1的信任度在Android设备中如何?
超过93.9%的Android设备已信任ISRG Root X1,预计这一比例将在2024年进一步增加。
如果使用Advanced Certificate Manager,如何应对证书链变更?
可以选择将证书切换到使用Google Trust Services作为证书颁发机构。
