Let’s Encrypt解决旧款Android手机凭证到期的问题

上个月免费凭证机构Let’s Encrypt警告,旧版Android手机从明年9月后不再信任该组织的凭证,造成用户浏览网页的困扰。不过本周Let’s Encrypt说,至少到2024年秋天不用担心这个问题。

这个问题来自和Let’s Encrypt ISG Root X1根凭证交互签章的IdenTrust DST Root X3,将在2021年9月1日到期。对使用Let’s Encrypt凭证的新版操作系统来说并没有什么影响,但却会对一些通过交互签章信任其凭证的早期操作系统引发兼容性问题。其中最重要的是7.1.1版本以前的Android版本,这表示这些Android设备明年9月1日起,就无法再信任Let’s Encrypt发行的ISG Root X1根凭证。

为了解决凭证错误问题,Let’s Encrypt计划从2021年1月11日起,Let’s Encrypt将变更API,为ACME用户端软件加入“另类”连接关联(link relation),使ACME用户端软件除了默认送出导向ISRG Root X1的凭证串链(certificate chain),同样凭证也能送出导向DST Root X3的凭证串链。

不过Let’s Encrypt指出,本月稍早该公司和IdenTrust完成新的合作,后者同意其DST Root CA X3和其ISRG Root X1发布3年的交互签章,超出DST Root CA X3原本到期时间。这么做有效,是因为Android刻意不执行凭证到期日为信任起点(trust anchor)。这意味着,使用Let’s Encrypt凭证的旧版Android设备,还可以再无碍上网到2024年9月。

因此,Let’s Encrypt也表示明年1月不会变更凭证串,而是从1月底或2月初转换默认使用新的凭证串。但这不影响用户端,订阅其凭证的用户无需做什么动作。