2020 年 11 月 Let’s Encrypt 宣布將在次年更換根證書，這次更換根證書將導致大量用戶無法正常訪問網站，究其原因主要是 Android 7.1 及以下版本已經停止支持，穀歌不再更新其證書庫，因此對於新簽發的證書是沒法信任的。

2020 年 12 月 Let’s Encrypt 宣布問題暫時解決，因為合作方 IdenTrust 已經同意再續簽三年的交叉驗證，也就是為 Let’s Encrypt 運營實體 ISRG 的證書提供交叉驗證，而 IdenTrust 的證書早就內置在 Android 裏了，所以可以繼續訪問。

如今三年之約至今過半，Let’s Encrypt 也提前放出消息明確不會再續簽，這對 IdenTrust 沒什麽影響，提前放出消息主要是給開發者和用戶的，因為證書到期後舊版 Android 係統將無法訪問那些使用 Let’s Encrypt 簽發證書的網站。

以下是時間點：

2024 年 2 月 8 日：Let’s Encrypt 開始測試停止交叉驗證

2024 年 6 月 6 日：Let’s Encrypt 停止提供交叉驗證

2024 年 9 月 30 日：DST ROOT CA X3– ISRG ROOT X1(交叉) 證書到期，由該證書簽發的所有證書都將無法再信任

為什麽不再續簽交叉驗證？

在 2020 年 11 月的時候，Let’s Encrypt 統計發現 Android 7.1 及以下版本占 Android 的 33.8%，實際訪問流量占比 1~5%，如果當時停止續簽則在 2021 年這部分用戶都無法訪問 Let’s Encrypt 簽發的證書，這個流量占比並不低。

如今信任 Let’s Encrypt 根證書即 ISRG ROOT X1 (非交叉) 的 Android 設備占比已經從 66% 提升到 93.9%，也就是僅有 6% 的設備仍然運行 Android 7.1 及以下版本，實際流量占比幾乎可以忽略不計。

所以 Let’s Encrypt 認為是時候停止交叉驗證了，直接使用 ISRG ROOT 證書就可以了，而且 Android 5.0~7.1 用戶可以安裝火狐瀏覽器，火狐瀏覽器內置了 ISRG ROOT CA 證書所以可以繼續訪問。

不再交叉驗證還有好處麽？

對 Let’s Encrypt 來說是有好處的，畢竟找 IdenTrust 交叉驗證也是要花錢的，而且交叉驗證意味著 TLS 握手時需要發送更多數據，而停止交叉驗證後 TLS 握手發送的數據將減少 40%。

那最終影響的是哪些用戶呢？

Android 4.4 及以下版本的安卓用戶，搭載這些版本的設備既不能信任 ISRG ROOT CA 也不能安裝火狐瀏覽器，所以是真沒法訪問那些使用 Let’s Encrypt 簽發的證書了，這部分流量占比自然更低。

哪些 “用戶” 應該注意：

Let’s Encrypt 提前放出消息主要是提醒網站管理員和 ACME 客戶端的開發者，一來到明年 9 月停止交叉驗證後確實會影響一部分用戶訪問，這可能導致網站流量下降、成交下降等；而來 ACME 客戶端作者需要跟進一下更新代碼確保能正確下載和安裝證書鏈，避免出現無法信任的情況。

(责任编辑：靜安區)