概览

相信很多在使用 Let’s Encrypt 证书的网站在 2021 年 10 月份出现了网站证书过期的错误,导致网站不能正常访问或影响使用体验,其他在很久之前 Let’s Encrypt 就发也公告,称改组织的根信任证书 DST Root CA X3 将在 2021 年 9 月 30 日过期,但是遍历 Let’s Encrypt 的官网以及相关论坛,都没有一个完美的解决方案,而最直接的方法即是等待系统更新和用户识别手工点击证书错误的场景下访问。

网站的公告原文(经由谷歌翻译):

地址:https://letsencrypt.org/2021/10/01/cert-chaining-help.html

证书链帮助资源

按照计划,DST Root CA X3 已过期,我们现在使用我们自己的 ISRG Root X1 作为信任。刚开始时,我们使用 DST Root CA X3 的交叉签名来获得对我们证书的广泛信任。现在我们自己的根被广泛信任。
对于大多数网站来说,这只是互联网上的又一天,但随着如此大的变化,一些网站和配置不可避免地会出现问题。我们对计划到期的概述在这里。您可以阅读我们为使流程更顺畅所做的工作。大多数问题都可以通过更新出现问题的机器上的软件来解决。
您可能还会发现这些链接很有帮助:
我们的证书兼容性页面。
OpenSSL 1.0.2 的解决方法。
每当我们的 API 发生重大变化时,我们都会在社区论坛的 API 公告类别中发布。登录并单击铃铛以将通知发送到您的电子邮件!如果您想了解更多来自 Let’s Encrypt 及其背后的非营利团队的信息,请订阅我们的时事通讯。您每年只会收到几封电子邮件。
我们(和我们的社区)随时为您服务!如果您有任何关于此变更的问题,搜索对我们的社区论坛或交线,我们已经帮你用这个题目。

地址:https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

DST 根 CA X3 到期(2021 年 9 月)

2021 年 9 月 30 日,旧版浏览器和设备对 Let’s Encrypt 证书的信任方式将发生微小变化。
如果您运行一个典型的网站,您不会注意到任何区别 – 您的绝大多数访问者仍会接受您的 Let’s Encrypt 证书。
如果您提供 API 或必须支持 IoT 设备,则可能需要多注意更改。
Let’s Encrypt 有一个
名为
ISRG Root X1 的 “
根证书” 

现代浏览器和设备信任您网站上安装的 Let’s Encrypt 证书,因为它们在其根证书列表中包含 ISRG Root X1。
为了确保我们颁发的证书在旧设备上可信,我们还有一个来自旧根证书的 “交叉签名”:DST Root CA X3。

当我们开始时,旧的根证书 (DST Root CA X3) 帮助我们起步并立即得到几乎所有设备的信任。
较新的根证书 (ISRG Root X1) 现在也受到广泛信任 – 但一些较旧的设备永远不会信任它,因为它们没有获得软件更新(例如,iPhone 4 或 HTC Dream)。
单击此处查看哪些平台信任 ISRG Root X1 的列表
DST Root CA X3 将于 2021 年 9 月 30 日到期。这意味着那些不信任 ISRG Root X1 的旧设备在访问使用 Let’s Encrypt 证书的站点时将开始收到证书警告。
有一个重要的例外:不信任 ISRG Root X1 的旧 Android 设备将继续与 Let’s Encrypt 一起使用,
这要归功于 DST Root CA X3 的特殊交叉签名,该交叉签名  超过了该根的到期时间。
此异常仅适用于 Android。
你该怎么办?
对于大多数人来说,什么都没有!
我们已经设置了证书颁发机构,因此您的网站在大多数情况下都会做正确的事情,有利于广泛的兼容性。
如果您提供 API 或必须支持 IoT 设备,则需要确保两件事:(1) API 的所有客户端都必须信任 ISRG Root X1(不仅仅是 DST Root CA X3),以及 (2) 如果您的 API 的客户端使用 OpenSSL,
它们必须使用 1.1.0 或更高版本
在 OpenSSL 1.0.x 中,证书验证中的一个怪癖意味着,即使是信任 ISRG Root X1 的客户端,在提供我们默认推荐的与 Android 兼容的证书链时也会失败。

目前面临的问题

DST Root CA X3 在 9 月 30 日过期,在这之后,电脑上没有 ISRG Root X1 证书,用户访问由 DST Root CA X3 信任根证书的网站时提示证书过期,出现阻断页面。

ISRG Root X1 支持年限从 2015 年 6 月 4 日 – 2035 年 6 月 4 日,在此期间都可提供网站及应用的根证书信任作用,但是是较早的设备,将没有内置该证书,只有通过系统更新或用户手工配置才能被信任,由此从而导致网站继续在 DST Root CA X3 证书过期的情况下任由作为根证书,导致其下的所有证书链都出现错误。

修复问题

在 HTTPS 的大时代潮流中,安全证书不是困难,困难的是难以维护和稳定,在经过这次问题后,痛彻痛悟,继续使用了在 Let’s Encrypt 证书之前的阿里云云盾证书。

好久之后的记录

切换至使用阿里云云盾证书后,发现网站加载速度相对明显稳定和快多了,从而证实了 SSL 证书真的会影响网站速度。

同时,经历不久后,Let’s Encrypt 证书切换到新根证书机构后也正常了,但是会在少数设备中调用旧根证书,而其他类似的服务器端一键部署的 SSL 服务也如雨后春笋一般涌出市面,只能在后面有时间了再折腾了~😃


0 条评论

发表回复

Avatar placeholder

您的电子邮箱地址不会被公开。 必填项已用*标注