Let's Encrypt考量到他們的根憑證已廣受信任,而跨簽章(Cross-Signing)將在2024年9月30日過期,因此屆時Let’s Encrypt將不再提供跨簽章擴展支援,官方提醒行動裝置使用者、網站營運商與ACME客戶端作者,應該提早採取必要措施。
Let's Encrypt一開始之所以要引入跨簽章中介憑證,是因為該組織的服務甫推出,需要確保憑證受到廣泛信任,因此使用由IdenTrust DST Root CA X3跨簽署中介憑證。即便Let's Encrypt的ISRG Root X1憑證仍不受信任,但以中介憑證頒發的憑證都將會受到信任。
跨簽章是一種公開金鑰基礎設施中使用的技術,能夠增加憑證的可信度,在憑證頒發機構剛創建的時候,其根憑證可能尚未受廣泛作業系統和瀏覽器信任,因此憑證認證機構便需要將其憑證,和由另一個已受廣泛信任的憑證認證機構,所頒布的憑證進行跨簽章,使得新憑證認證機構的憑證能夠被信任。
但隨著時間的推移,ISRG Root X1憑證已經獲得廣泛信任,Let's Encrypt開始評估跨簽章退場的可能性。在2021年DST Root CA X3即將到期的時候,雖然當時所有新的瀏覽器都已經信任Root X1憑證,但還有超過三分之一的Android裝置執行舊版作業系統,淘汰Root X1憑證會大規模破壞使用Let's Encrypt憑證的網站,因此Let's Encrypt在當時又再次獲取跨簽章,讓舊的Android裝置能夠繼續信任Let's Encrypt的憑證。
不過,2024年9月30日這個跨簽章又要到期了,而確定的是,這次Let's Encrypt將不會繼續支援跨簽章,因為現在信任ISRG Root X1的Android裝置百分比,已經從66%上升到93.9%,到了明年這個數字將會再增加,此外,Android 14還能夠在不更新作業系統的情況更新信任儲存。移除跨簽章的好處,還包括使TLS交握所發送的憑證位元組減少40%,並且大幅減低Let's Encrypt營運成本。
因此Let's Encrypt決定在2024年2月8日預設停止提供跨簽章,6月6日就會完全停止提供跨簽章鏈,9月30日則是跨簽章憑證正式到期的日子。Android 7.0或更早版本的用戶,可以安裝Firefox Mobile繼續使用Let's Encrypt憑證網站,同時網站營運者也應該觀察2024年第二與第三季的網站統計數字,如有Android存取量突然下降的現象,可建議使用者採取相對應措施,另外,ACME客戶端作者也要確保程式能正確下載和安裝憑證鏈。
熱門新聞
2024-12-16
2024-12-16
2024-12-16
2024-12-17