扩展Android设备兼容性以让我们加密证书
我们很高兴地宣布,我们为旧版Android设备开发了一种方法,可以在交叉签名的中间产品过期后保留其访问使用Let's Encrypt证书的网站的功能。我们不再计划在一月份进行任何可能导致Let's Encrypt订阅者出现兼容性问题的更改。
关于我们即将推出的链开关的帖子中反复出现的主题是,我们担心7.1.1之前版本的Android操作系统对用户的影响,这些用户的设备不信任我们的ISRG Root X1。得益于我们社区和IdenTrust出色合作伙伴的创新思维,我们现在有了一个可以保持广泛兼容性的解决方案。对于我们作为非营利组织的使命而言,至关重要的是帮助尽可能多的人创建更安全,更尊重隐私的Web。这项工作使我们更加接近该目标。
IdenTrust已同意从其DST根CA X3为我们的ISRG根X1发出为期3年的交叉签名。新的交叉符号将有些新颖,因为它超出了DST根CA X3的到期范围。该解决方案之所以有效,是因为Android故意不强制执行用作信任锚的证书的到期日期。 ISRG和IdenTrust与我们的审核员和根程序取得了联系,以审核该计划并确保不存在合规性问题。
这样,我们将能够为订户提供包含ISRG Root X1和DST Root CA X3的链,从而确保为所有用户提供不间断的服务,并避免了我们一直在担心的潜在破坏。
我们不会在2021年1月11日执行我们先前计划的链切换,而是默认在1月下旬或2月初切换以提供此新链。这种过渡不会对Let's Encrypt订户产生任何影响,就像本月初切换到R3中级课程一样。
我是ACME客户开发人员,该怎么办?如果您的客户顺利地完成了从X3到R3的过渡,那么您无需采取任何措施。确保您的客户端在发行结束后正确使用ACME API提供的中间证书,并且不会通过其他方式(例如,对中间文件进行硬编码,重复使用磁盘上已有的内容或从AIA URL获取)来检索中间文件。
我是“加密”订阅者,我该怎么办?在绝大多数情况下,什么都没有。如果您要仔细检查,请确保您的ACME客户是最新的。
我使用旧的Android设备,该怎么办?没有!我们正在尝试确保此更改对最终用户完全不可见。
到底是什么变化?今天,当订户从我们的API获取其证书时,默认情况下,我们会提供以下链:订户证书< – R3< – DST根CA X3进行此更改后,默认情况下,我们将改为提供此链:用户证书< – R3< – ISRG根X1< – DST根CA X3这确实意味着我们提供给订户的默认链将比以前更大,因为它包含两个中间节点,而不只是一个中间节点。这将使TLS握手更大且效率稍低,但是值得为此付出额外的兼容性。
但是DST根CA X3不会到期吗?代表DST根CA X3密钥对的自签名证书即将到期。但是浏览器和OS根存储本身不包含证书,它们包含“信任锚”,并且用于验证证书的标准允许实现选择是否在信任锚上使用字段。 Android特意选择不使用信任锚的notAfter字段。正如我们的ISRG Root X1尚未添加到较旧的Android信任库中一样,DST Root CA X3尚未删除。因此,它可以发出交叉签名,其有效性超出其自身的自签名证书的有效期,而不会出现任何问题。
新的交叉标志过期时会发生什么?这个新的交叉符号将在2024年初到期。在此之前,也许最早在2021年6月,我们将对我们打算在今年1月做出的更改。当我们进行更改时,订阅者将可以选择通过配置其ACME客户端以专门请求它来继续使用DST根CA X3。如果您是Let's Encrypt订户,并且已经在努力减轻链条切换的麻烦(例如,通过配置备用链条或鼓励您的旧Android设备上的用户安装Firefox),请继续进行此工作,以便将来定位。
备用链呢?如今,如果某些ACME客户端的用户已经配置了备用链,则可以请求该备用链。当前,我们提供获取链的选项:用户证书< – R3< – ISRG Root X1我们将继续提供相同的链作为备用链。但是,请注意,大多数ACME客户端尚无法选择此备用链(例如,Certbot通过查看链中是否包含给定的发行人名称来选择链,但此链不包含任何发行人名称,上面的高兼容性链没有)。我们将与ACME客户开发人员合作,以建立更灵活的链选择机制。
这与即将到来的ECDSA链有什么关系?此更改与我们即将基于ECDSA的ISRG Root X2和E1中间版本的发行无关。我们期待使用这些证书来提供更小,更有效的证书和链,但将来的提供与此更改无关。
我还有其他问题,我该如何回答?请把您的问题转到我们的社区论坛。
将来,我们希望分享有关此计划如何以及为什么起作用的更多技术细节,演示DST Root CA X3到期的原因为何不影响Web的安全性,以及该计划对订户和最终用户的长期意义 -网络上的用户。 我们依靠支持者的贡献来提供我们的服务。 如果您的公司或组织想赞助Let's Encrypt,请发送电子邮件给我们:[email protected]。 如果您力所能及,我们要求您作出个人贡献。
