Let’s Encrypt考量到他们的根凭证已广受信任,而跨签章(Cross-Signing)将在2024年9月30日过期,因此届时Let’s Encrypt将不再提供跨签章扩展支持,官方提醒移动设备用户、网站营运商与ACME客户端作者,应该提早采取必要措施。
Let’s Encrypt一开始之所以要引入跨签章中介凭证,是因为该组织的服务甫推出,需要确保凭证受到广泛信任,因此使用由IdenTrust DST Root CA X3跨签署中介凭证。 即便Let’s Encrypt的ISRG Root X1凭证仍不受信任,但以中介凭证颁发的凭证都将会受到信任。
跨签章是一种公开密钥基础设施中使用的技术,能够增加凭证的可信度,在凭证颁发机构刚创建的时候,其根凭证可能尚未受广泛操作系统和浏览器信任,因此凭证认证机构便需要将其凭证,和由另一个已受广泛信任的凭证认证机构,所颁布的凭证进行跨签章,使得新凭证认证机构的凭证能够被信任。
但随着时间的推移,ISRG Root X1凭证已经获得广泛信任,Let’s Encrypt开始评估跨签章退场的可能性。 在2021年的时候DST Root CA X3将到期,虽然当时所有新的浏览器都已经信任Root X1凭证,但还有超过三分之一的Android装置执行旧版操作系统,淘汰Root X1凭证会大规模破坏使用Let’s Encrypt凭证的网站,因此Let’s Encrypt在当时又再次获取跨签章,让旧的Android装置能够继续信任Let’s Encrypt的凭证。
不过,2024年9月30日这个跨签章又要到期了,而确定的是,这次Let’s Encrypt将不会继续支持跨签章,因为现在信任ISRG Root X1的Android装置百分比,已经从66%上升到93.9%,到了明年这个数字将会再增加,此外,Android 14还能够在不更新操作系统的情况更新信任储存。 移除跨签章的好处,还包括使TLS交握所发送的凭证字节减少40%,并且大幅减低Let’s Encrypt营运成本。
因此Let’s Encrypt决定在2024年2月8日预设停止提供跨签章,6月6日就会完全停止提供跨签章链,9月30日则是跨签章凭证正式到期的日子。 Android 7.0或更早版本的用户,可以安装Firefox Mobile继续使用Let’s Encrypt凭证网站,同时网站营运者也应该观察2024年第二与第三季的网站统计数字,如有Android存取量突然下降的现象,可建议用户采取相对应措施,另外,ACME客户端作者也要确保程序能正确下载和安装凭证链。
