如果你仍然在使用Android7.1.1及更早的版本,那麼接下來你可能會碰到有一些網站無法訪問,這並不是網站的問題而是系統版本問題。Let'sEncrypt是目前被廣泛使用的免費證書頒發機構,當前全球至少也有千萬以上的網站使用Let'sEncrypt簽發的證書。
今天 Cloudflare 發佈關於 Let's Encrypt 根證書變更的提示,這個提示其實 Let's Encrypt 早在幾年前就說,去年也陸續說,這是一個比較麻煩的問題。
問題根源:
Let's Encrypt 最初使用 IdenTrust 交叉簽名的根證書,這個根證書自 2000 年以來就是有效的,因此廣泛兼容各類老舊設備,包括 Android 7.1.1 及此前的版本。
後來 Let's Encrypt 推出自己的根證書 ISRG Root X1,這份根證書屬於新證書,一些老舊的、停止更新的系統由於缺乏開發商提供的更新,因此是無法信任該證書的。
而 IdenTrust 交叉簽名證書將在 2024 年 9 月 30 日到期,因此後續開發者也無法再申請簽發基於 IdenTrust 的 Let's Encrypt 證書。
Cloudflare 也停止簽發舊證書:
Cloudflare 今天發佈的公告說的是從今年 5 月 15 日開始,該平臺不再簽發基於 IdenTrust 的 Let's Encrypt 證書,也就是後續簽發的新證書全部都是 ISRG Root X1 的。
這意味著如果網站仍然面向某些老舊系統,那麼這些系統將無法訪問網站,這可能會對網站產生輕微的流量影響。
根據 Let's Encrypt 的統計,目前超過 93.9% 的 Android 設備已經信任 ISRG Root X1,但剩餘個位數的老舊 Android 版本也就是 7.1.1 之前的無法信任。
如果是大型網站或企業,建議考慮購買其他付費證書來提高兼容性,對於一般性網站那麼基本可以考慮放棄支持 Android 7.1.1 及之前的版本。
註:Android 5.0~7.1 用戶可以安裝Firefox瀏覽器,Firefox瀏覽器內置 ISRG ROOT CA 證書所以可以繼續訪問。