Let’s Encrypt根证书将过期 站长应于9月30日完成SSL证书更新

安全研究员Scott Helme警告称：作为全球最大HTTPs证书提供商之一的Let’s Encrypt，即将于下周停用旧版根证书（Root CA）。这意味着数百万计依赖它的网站必须在9月30日前及时更新，不然将面临不受计算机、设备或Web浏览器信任的困扰。

（图自：Scott Helme）

据悉，作为一家非盈利组织，Let’s Encrypt致力于通过颁发证书来推动设备和互联网数据通信的加密，确保不被第三方拦截并窃取信息。

然而Let’s Encrypt当前使用的IdentTrust DST Root CA X3根证书，也即将于下周过期。对于大部分网站的访客来说，9 月 30 日可能是个波澜不惊的一天。

但是对于较旧的设备来说，可能还是会遇到一些问题 ——正如AddTrust External CA Root在今年 5 月遭遇的根证书过期中断那样，造成Stripe、Red Hat和Roku都受到了影响。

Scott Helme 在一篇博文中写道：“考虑到Let’s Encrypt和AddTrust之间的体量差异，我有预感IdenTrust根证书到期时又会让历史重演，甚至可能引发更多的问题”。

当然，潜在易受影响的，主要是那些不怎么定期更新的设备 —— 比如嵌入式系统、或运行多年前软件版本的智能手机。

（图自：Let’s Encrypt）

举个例子，运行macOS 2016和Windows XP SP3的设备用户可能在月底之后遇到麻烦。依赖OpenSSL 1.0.2或更早版本的客户端平台也可能受到影响，此外还有尚未升级到新版固件的PlayStation老游戏机。

鉴于 Android 生态有着长期存在且众所周知的问题，为了防止大多数智能机受到本次事件的影响，Let’s Encrypt已于今年早些时候未雨绸缪地过渡到了自家的ISRG Root X1证书（到期时间为2035年）。

虽然包括Android 7.1.1（Nougat）及更早版本的设备并不信任它，但Let’s Encrypt还是能够通过对自颁证书进行交叉签名的方式，让大多数Android设备可在未来三年内避免受到波及。

但若你还想在Android 5.0（Lollipop）上安装Firefox，最好还是尽早为迁移至新平台做打算。

最后，自2014年成立以来，截止 2021 年 9 月初，Let’s Encrypt总计已经颁发了超过20亿份证书。

如果你的网站正在使用Let’s Encrypt提供的免费证书，务必在9月30日之前完成SSL证书更换，可以参考“如何申请免费及配置SSL证书”一文。