上周收到了 CloudFlare 官方【即将到来的 Let's Encrypt 证书链更改】的邮件提醒,说是:Let's Encrypt 通过两条链颁发证书:ISRG Root X1 链和由 IdenTrust 的 DST Root CA X3 交叉签名的 ISRG Root X1 链。交叉签名链使 Let's Encrypt 证书变得广泛可信,而纯链在过去 3 年中发展了与各种设备的兼容性,将信任 ISRG Root X1 的 Android 设备数量从 66% 增加到 93.9%。
Let's Encrypt 宣布交叉签名链将于 2024 年 9 月 30 日到期。因此, Cloudflare 将于 2024 年 5 月 15 日停止从交叉签名的 CA 链颁发证书。
交叉签名链的到期将主要影响旧设备(例如 Android 7.0 及更低版本)和仅依赖交叉签名链且信任存储区中缺少 ISRG Root X1 链的系统。此更改可能会导致这些设备上的证书验证失败,从而可能导致访问您网站的用户出现警告消息或访问问题。
为了应对 CA 到期,在 5 月 15 日之后,Cloudflare 将不再从交叉签名链颁发证书。5 月 15 日之前颁发的证书将继续提供给具有交叉签名链的客户。5 月 15 日或之后颁发的证书将使用 ISRG 根 X1 链。此外,此更改仅影响 RSA 证书。它不会影响通过 Let's Encrypt 颁发的 ECDSA 证书。ECDSA 证