现时大部份网站都会使用 HTTPS 加密以保护访客跟网站之间传输的讯息,当中不少网站都采用 Let’s Encrypt 签发的 SSL Certificate。但明年九月 Let’s Encrypt 会有一项改动,会导致 Android 7 或以下装置到访这些采用 Let’s Encrypt Certificate 的网站时会出现问题。
Let’s Encrypt 在五年前推出时是跟 IdenTrust 合作,由 IdenTrust cross-signature Let’s Encrypt,而 Let’s Encrypt 就依此签发 Certificate。IdenTrust 的 root certificate “DST Root X3” 已经推出多年并为不同系统平台所信赖,所以运作就没有问题。之后 Let’s Encrypt 自行发出 Root Certificate “ISRG Root X1″,并陆续为各大系统平台所信赖接受。
到访网站会有问题
原先采用的 “DST Root X3” root certificate 将会在 2021年9月到期,Let’s Encrypt 亦已完全转用自家的 Root Certificate 作签发,但这引伸出旧系统兼容问题。若果一些旧系统一直没有更新,只是信赖之前旧的 Root Certificate “DST Root X3″,并没有更新去信赖接受新的 “ISRG Root X1″,在这些旧系统到访采用 Let’s Encrypt Certificate 的网站时就会出现问题,会出现不信任凭证等类似讯息。
Some software that hasn’t been updated since 2016 (approximately when our root was accepted to many root programs) still doesn’t trust our root certificate, ISRG Root X1. Most notably, this includes versions of Android prior to 7.1.1. That means those older versions of Android will no longer trust certificates issued by Let’s Encrypt.
根据 Let’s Certificate 自家推出的 Root Certificate 时间,对应 Android 7.1.1 或之前的系统应该没有更新,并不会信赖Let’s Certificate 自家的 Root Certificate。即是话 Android 7 或之前的版本,明年九月到访采用 Let’s Encrypt Certificate 的网站时就会出现问题。根据 Android Studio 的统计数字,现时仍有超过 3成的 Android 装置是采用 Android 7 或之前的版本,虽然还有约一年时间,但估计届时仍会有大量 Android 7 或之前的装置运行。
转用 Firefox Mobile
由于 Google 不会为旧 Android 系统更新,问题是没办法解决的。Let’s Encrypt 就提议用家可以改为安装使用 Firefox Mobile。一般 Android 电话内置的浏览器都只是采用系统内所信赖的 Root Certificate 清单,而 Firefox Mobile 本身会附有自己的 Root Certificate 清单,所以 Firefox Mobile 会信赖接受 Let’s Certificate 所签的凭证,到访网站时不会有问题。
Source: Let’s Encrypt