The Cloudflare Blog
·
Let’s Encrypt证书链即将更改及其对Cloudflare客户的影响
💡
原文英文,约900词,阅读约需4分钟。
📝
内容提要
Let's Encrypt将于2024年停止使用与IdenTrust交叉签名的证书链,而改用自己的根CA。这将影响一些旧设备和系统,如Android 7.1.1或更早版本的设备。建议更新信任存储以包含ISRG Root X1,移除或更新证书固定。此举将推动设备、浏览器和客户端支持适应性信任存储,为新的证书颁发机构铺平道路。
🎯
关键要点
- Let's Encrypt将于2024年停止使用与IdenTrust交叉签名的证书链,改用自己的根CA ISRG Root X1。
- 此变更将影响旧设备和系统,如Android 7.1.1及更早版本,可能会遇到TLS错误或警告。
- 超过93.9%的Android设备已信任ISRG Root X1,预计2024年这一比例将进一步增加。
- 建议更新信任存储以包含ISRG Root X1,并移除或更新证书固定,以减少影响。
- 如果使用Advanced Certificate Manager或SSL for SaaS的企业计划,可以选择使用Google Trust Services作为证书颁发机构。
- Cloudflare支持Let's Encrypt的变更,认为这将推动更安全和灵活的互联网。
- 回顾过去,免费证书的缺乏曾阻碍TLS的普及,Cloudflare的Universal SSL改变了这一局面。
- 支持新安全标准和协议对于改善互联网至关重要,Let's Encrypt的推出使得每个域名都能免费获得TLS证书。
- 通过退休交叉签名链,Let's Encrypt推动设备、浏览器和客户端支持适应性信任存储,为新证书颁发机构的出现铺平道路。
- 新证书颁发机构需要多年才能获得广泛信任,Let's Encrypt的变更旨在加速这一过程。
🏷️
标签
➡️
