Let’s Encrypt 明年九月不再支援 Android 7 或以下裝置

Let's Encrypt 明年九月不再支援 Android 7 或以下裝置

現時大部份網站都會使用 HTTPS 加密以保護訪客跟網站之間傳輸的訊息,當中不少網站都採用 Let’s Encrypt 簽發的 SSL Certificate。但明年九月 Let’s Encrypt 會有一項改動,會導致 Android 7 或以下裝置到訪這些採用 Let’s Encrypt Certificate 的網站時會出現問題。

Let’s Encrypt 在五年前推出時是跟 IdenTrust 合作,由 IdenTrust cross-signature Let’s Encrypt,而 Let’s Encrypt 就依此簽發 Certificate。IdenTrust 的 root certificate “DST Root X3” 已經推出多年並為不同系統平台所信賴,所以運作就沒有問題。之後 Let’s Encrypt 自行發出 Root Certificate “ISRG Root X1″,並陸續為各大系統平台所信賴接受。

到訪網站會有問題
原先採用的 “DST Root X3” root certificate 將會在 2021年9月到期,Let’s Encrypt 亦已完全轉用自家的 Root Certificate 作簽發,但這引伸出舊系統兼容問題。若果一些舊系統一直沒有更新,只是信賴之前舊的 Root Certificate “DST Root X3″,並沒有更新去信賴接受新的 “ISRG Root X1″,在這些舊系統到訪採用 Let’s Encrypt Certificate 的網站時就會出現問題,會出現不信任憑證等類似訊息。

Some software that hasn’t been updated since 2016 (approximately when our root was accepted to many root programs) still doesn’t trust our root certificate, ISRG Root X1. Most notably, this includes versions of Android prior to 7.1.1. That means those older versions of Android will no longer trust certificates issued by Let’s Encrypt.

根據 Let’s Certificate 自家推出的 Root Certificate 時間,對應 Android 7.1.1 或之前的系統應該沒有更新,並不會信賴Let’s Certificate 自家的 Root Certificate。即是話 Android 7 或之前的版本,明年九月到訪採用 Let’s Encrypt Certificate 的網站時就會出現問題。根據 Android Studio 的統計數字,現時仍有超過 3成的 Android 裝置是採用 Android 7 或之前的版本,雖然還有約一年時間,但估計屆時仍會有大量 Android 7 或之前的裝置運行。

轉用 Firefox Mobile
由於 Google 不會為舊 Android 系統更新,問題是沒辦法解決的。Let’s Encrypt 就提議用家可以改為安裝使用 Firefox Mobile。一般 Android 電話內置的瀏覽器都只是採用系統內所信賴的 Root Certificate 清單,而 Firefox Mobile 本身會附有自己的 Root Certificate 清單,所以 Firefox Mobile 會信賴接受 Let’s Certificate 所簽的憑證,到訪網站時不會有問題。

Source: Let’s Encrypt