33％的Android设备很快将无法识别Lets Encrypt证

由社区控制并向所有人免费提供证书的备快别非商业证书颁发机构Lets Encrypt已宣布即将过渡到仅使用其自己的根证书而不使用IdenTrust证书颁发机构交叉签名的证书来生成签名的过渡 。交叉签名的将无证书将于2021年9月1日到期。这意味着33%的法识Android设备将停止识别Lets Encrypt证书。

所有现代浏览器均支持“让我们加密”根证书，备快别但只有2016年末发布的将无Android 7.1.1才认可该证书 。但是亿华云法识，根据现有统计数据，备快别所有Android设备中仅使用62.1%的将无Android 7.1和更高版本。因此 ，法识有33.8%的备快别活动Android设备未安装“让我们加密”根证书 。交叉签名的将无证书过期后，尝试在此类设备上使用“让我们加密”证书打开站点时将显示错误。法识估计使用该交叉签名证书的备快别Android设备的云计算份额约为大型网站受众的1%到5%。

让我们加密无意形成新的将无交叉签名协议。

CA对另一个CA的法识证书进行交叉签名是很大的风险
，因为它们将对CA所做的一切负责 。这也意味着交叉签名的接收者必须遵循交叉签名CA规定的免费模板所有程序。对我们而言
，能够独立站立很重要 。另外，Android更新问题似乎并没有消失 。如果我们致力于支持旧的Android版本
，那么我们将致力于无限期地寻求其他CA的交叉签名 。

从2021年1月11日开始 ，将对Lets Encrypt API进行更改。默认情况下 ，建站模板将向ACME客户颁发ISRG Root X1认证的证书，且不带交叉签名。对兼容性感兴趣的用户将有机会请求根据旧的交叉验证方案认证的替代证书，但此类证书仍受交叉签名的根证书的生存期的限制(2021年9月1日)
。

作为解决方案，源码库建议使用旧版Android设备的用户切换到Firefox浏览器
，该浏览器具有自己的最新根证书存储。但是Firefox不支持Android 4.x(约占活跃Android设备的2%)，并且只能在Android 5.0或更高版本上运行 。鼓励尚未准备好与旧版Android智能手机失去兼容性的网站所有者 ，可以通过HTTP处理来自旧版Android设备的请求 ，源码下载或切换到使用旧版Android支持的CA。