Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响

如果你仍然在使用 Android 7.1.1 及更早的版本，那么接下来你可能会碰到有一些网站无法访问，这并不是网站的问题而是系统版本问题。

Let’s Encrypt 是目前被广泛使用的免费证书颁发机构，当前全球至少也有千万以上的网站使用 Let’s Encrypt 签发的证书。

今天 Cloudflare 发布关于 Let’s Encrypt 根证书变更的提示，这个提示其实 Let’s Encrypt 早在几年前就说了，去年也陆续说了，这是一个比较麻烦的问题。

问题根源：

Let’s Encrypt 最初使用 IdenTrust 交叉签名的根证书，这个根证书自 2000 年以来就是有效的，因此广泛兼容各类老旧设备，包括 Android 7.1.1 及此前的版本。

后来 Let’s Encrypt 推出了自己的根证书 ISRG Root X1，这份根证书属于新证书，一些老旧的、停止更新的系统由于缺乏开发商提供的更新，因此是无法信任该证书的。

而 IdenTrust 交叉签名证书将在 2024 年 9 月 30 日到期，因此后续开发者也无法再申请签发基于 IdenTrust 的 Let’s Encrypt 证书。

Cloudflare 也停止签发旧证书：

Cloudflare 今天发布的公告说的是从今年 5 月 15 日开始，该平台不再签发基于 IdenTrust 的 Let’s Encrypt 证书，也就是后续签发的新证书全部都是 ISRG Root X1 的。

这意味着如果网站仍然面向某些老旧系统，那么这些系统将无法访问网站，这可能会对网站产生轻微的流量影响。

根据 Let’s Encrypt 的统计，目前超过 93.9% 的 Android 设备已经信任 ISRG Root X1，但剩余个位数的老旧 Android 版本也就是 7.1.1 之前的无法信任。

如果是大型网站或企业，建议考虑购买其他付费证书来提高兼容性，对于一般性网站那么基本可以考虑放弃支持 Android 7.1.1 及之前的版本了。

注：Android 5.0~7.1 用户可以安装火狐浏览器，火狐浏览器内置了 ISRG ROOT CA 证书所以可以继续访问。