上個月免費憑證機構Let's Encrypt警告,舊版Android手機從明年9月後不再信任該組織的憑證,造成用戶瀏覽網頁的困擾。不過本周Let's Encrypt說,至少到2024年秋天不用擔心這個問題。

這個問題來自和Let's Encrypt ISG Root X1根憑證交互簽章的IdenTrust DST Root X3,將在2021年9月1日到期。對使用Let's Encrypt憑證的新版作業系統來說並沒有什麼影響,但卻會對一些透過交互簽章信任其憑證的早期作業系統引發相容性問題。其中最重要的是7.1.1版本以前的Android版本,這表示這些Android裝置明年9月1日起,就無法再信任Let's Encrypt發行的ISG Root X1根憑證。

為了解決憑證錯誤問題,Let's Encrypt計畫從2021年1月11日起,Let's Encrypt將變更API,為ACME用戶端軟體加入「另類」連結關聯(link relation),使ACME用戶端軟體除了預設送出導向ISRG Root X1的憑證串鏈(certificate chain),同樣憑證也能送出導向DST Root X3的憑證串鏈。

不過Let's Encrypt指出,本月稍早該公司和IdenTrust達成新的合作,後者同意其DST Root CA X3和其ISRG Root X1發布3年的交互簽章,超出DST Root CA X3原本到期時間。這麼做有效,是因為Android刻意不執行憑證到期日為信任起點(trust anchor)。這意謂著,使用Let's Encrypt憑證的舊版Android裝置,還可以再無礙上網到2024年9月。

因此,Let's Encrypt也表示明年1月不會變更憑證串,而是從1月底或2月初轉換預設使用新的憑證串。但這不影響用戶端,訂閱其憑證的用戶無需做什麼動作。


熱門新聞

Advertisement