安全研究员Scott Helme警告称:作为全球最大HTTPs证书提供商之一的Let's Encrypt,即将于下周停用旧版根证书(Root CA)。这意味着数百万计依赖它的网站必须在9月30日前及时更新,不然将面临不受计算机、设备或Web浏览器信任的困扰。
(图自:Scott Helme)
据悉,作为一家非盈利组织,Let's Encrypt致力于通过颁发证书来推动设备和互联网数据通信的加密,确保不被第三方拦截并窃取信息。
然而Let's Encrypt当前使用的IdentTrust DST Root CA X3根证书,也即将于下周过期。对于大部分网站的访客来说,9 月 30 日可能是个波澜不惊的一天。
但是对于较旧的设备来说,可能还是会遇到一些问题 ——正如AddTrust External CA Root在今年 5 月遭遇的根证书过期中断那样,造成Stripe、Red Hat和Roku都受到了影响。
Scott Helme 在一篇博文中写道:“考虑到Let's Encrypt和AddTrust之间的体量差异,我有预感IdenTrust根证书到期时又会让历史重演,甚至可能引发更多的问题”。
当然,潜在易受影响的,主要是那些不怎么定期更新的设备 —— 比如嵌入式系统、或运行多年前软件版本的智能手机。
(图自:Let's Encrypt)
举个例子,运行macOS 2016和Windows XP SP3的设备用户可能在月底之后遇到麻烦。依赖OpenSSL 1.0.2或更早版本的客户端平台也可能受到影响,此外还有尚未升级到新版固件的PlayStation老游戏机。
鉴于 Android 生态有着长期存在且众所周知的问题,为了防止大多数智能机受到本次事件的影响,Let's Encrypt已于今年早些时候未雨绸缪地过渡到了自家的ISRG Root X1证书(到期时间为2035年)。
虽然包括Android 7.1.1(Nougat)及更早版本的设备并不信任它,但Let's Encrypt还是能够通过对自颁证书进行交叉签名的方式,让大多数Android设备可在未来三年内避免受到波及。
但若你还想在Android 5.0(Lollipop)上安装Firefox,最好还是尽早为迁移至新平台做打算。
最后,自2014年成立以来,截止 2021 年 9 月初,Let's Encrypt总计已经颁发了超过20亿份证书。
如果你的网站正在使用Let's Encrypt提供的免费证书,务必在9月30日之前完成SSL证书更换,可以参考“如何申请免费及配置SSL证书”一文。
原文地址:https://www.wbolt.com/lets-encrypt-root-ca-will-fucking-expire.html