“我收到了来自 Cloudflare 的电子邮件,我有点担心,因为我的安装中使用了 Cloudflare,有人能帮我理解这是什么意思吗?我会离线吗?”
您好,
我们写信通知您,一项即将到来的变更将影响 2024 年 5 月 15 日之后颁发的 Let’s Encrypt 证书的设备兼容性。我们之所以联系您,是因为我们发现您目前通过 Universal SSL、Advanced Certificate Manager、Custom Certificates 或 SSL for SaaS 使用 Let’s Encrypt 证书。我们建议您提前熟悉 Let’s Encrypt 的变更并进行必要的调整。
变更概述
Let’s Encrypt 通过两条链颁发证书:ISRG Root X1 链和由 IdenTrust 的 DST Root CA X3 交叉签名的 ISRG Root X1 链。交叉签名链使得 Let’s Encrypt 证书获得了广泛信任,而纯链在过去 3 年中与各种设备兼容性不断提高,将信任 ISRG Root X1 的 Android 设备数量从 66% 提高到 93.9%。
Let’s Encrypt 宣布,交叉签名链将于 2024 年 9 月 30 日到期。因此,Cloudflare 将于 2024 年 5 月 15 日停止颁发来自交叉签名 CA 链的证书。
影响
交叉签名链的到期将主要影响较旧的设备(例如 Android 7.0 及更早版本)以及仅依赖交叉签名链且其信任存储中没有 ISRG Root X1 链的系统。此变更可能导致这些设备上的证书验证失败,从而可能导致访问您网站的用户收到警告消息或出现访问问题。
对通过 Universal SSL、Advanced Certificate Manager 或 SSL for SaaS 颁发的证书的影响:
为应对 CA 到期,5 月 15 日之后,Cloudflare 将不再颁发来自交叉签名链的证书。5 月 15 日之前颁发的证书将继续以交叉签名链的形式提供给客户端。5 月 15 日或之后颁发的证书将使用 ISRG Root X1 链。此外,此变更仅影响 RSA 证书。它不影响通过 Let’s Encrypt 颁发的 ECDSA 证书。ECDSA 证书将保持与今天相同的兼容性级别。
对通过 Custom Certificates 上传的证书的影响:
上传到 Cloudflare 的证书会与 Cloudflare 认为兼容性和效率最高的证书链捆绑在一起。2024 年 5 月 15 日之后,上传到 Cloudflare 的所有 Let’s Encrypt 证书将与 ISRG Root X1 链捆绑在一起,而不是交叉签名链。5 月 15 日之前上传的证书将继续使用交叉签名链,直到该证书续订。
重要日期
2024 年 5 月 15 日: Cloudflare 将停止颁发来自交叉签名 CA 链的证书。此外,在此日期之后上传的 Let’s Encrypt Custom Certificates 将与 ISRG X1 链捆绑在一起,而不是交叉签名链。
2024 年 9 月 30 日: 交叉签名 CA 链将到期。
建议:
为减少此变更的影响,我们建议您采取以下步骤:
- 更改 CA:如果您的客户正在从旧设备向您的应用程序发出请求,并且您预计此变更将影响他们,那么我们建议您使用其他证书颁发机构或上传您选择的 CA 的证书。
- 监控:变更推出后,我们建议监控您的支持渠道,以获取有关证书警告或访问问题的任何咨询。
- 更新信任存储:如果您控制连接到您应用程序的客户端,我们建议升级信任存储以包含 ISRG Root X1 链,以防止受到影响。
“这是我收到的电子邮件,但有些问题,我是一个普通人,我试着去理解,我研究了一下,但我无法理解这一切的严重性,如果有人想帮助我,我将不胜感激。”