尊敬的读者,
随着2024年5月15日之后颁发的Let's Encrypt证书将受到影响的变更即将到来,我们特此通知您。我们联系您是因为我们发现您目前正在使用通过Universal SSL、Advanced Certificate Manager、Custom Certificates或SSL for SaaS颁发的Let's Encrypt证书。我们建议您熟悉Let's Encrypt的变更,并提前做出任何必要的调整。
变更概述Let's Encrypt通过两条链颁发证书:ISRG Root X1链和由IdenTrust的DST Root CA X3交叉签名的ISRG Root X1链。交叉签名链使得Let's Encrypt证书得到广泛信任,而纯链在过去3年中与各种设备兼容性增长,使得Android设备对ISRG Root X1的信任从66%增长到93.9%。
Let's Encrypt宣布交叉签名链将于2024年9月30日到期。因此,Cloudflare将于2024年5月15日停止从交叉签名CA链颁发证书。
影响交叉签名链的到期主要影响较旧的设备(例如Android 7.0及更早版本)和仅依赖交叉签名链且在其信任存储中缺少ISRG Root X1链的系统。这一变更可能导致这些设备上的证书验证失败,可能会给访问您网站的用户带来警告消息或访问问题。
对通过Universal SSL、Advanced Certificate Manager或SSL for SaaS颁发的证书的影响:
为了应对CA到期,2024年5月15日后,Cloudflare将不再从交叉签名链颁发证书。在5月15日之前颁发的证书将继续向客户提供交叉签名链。5月15日或之后颁发的证书将使用ISRG Root X1链。此外,此变更仅影响RSA证书,不影响通过Let's Encrypt颁发的ECDSA证书。ECDSA证书将保持今天的兼容性水平。
对通过Custom Certificates上传的证书的影响:
上传到Cloudflare的证书与Cloudflare认为最兼容和高效的证书链捆绑在一起。2024年5月15日后,所有上传到Cloudflare的Let's Encrypt证书将与ISRG Root X1链捆绑在一起,而不是交叉签名链。在5月15日之前上传的证书将继续使用交叉签名链直至该证书被更新。
重要日期2024年5月15日:Cloudflare将停止从交叉签名CA链颁发证书。此外,此日期之后上传到Let's Encrypt Custom Certificates将与ISRG X1链捆绑。
2024年9月30日:交叉签名CA链将到期。
建议为减少这一变更带来的影响,我们建议采取以下步骤:
更换CA:如果您预计客户会从旧设备向您的应用程序发送请求,并且预计这一变更会对他们产生影响,则建议使用不同的证书颁发机构或上传您选择的CA颁发的证书。
监控:一旦变更推出,请监控您支持渠道以获取与证书警告或访问问题相关的任何查询。
更新信任存储:如果您控制连接到应用程序的客户端,请升级信任存储以包含ISRG Root X1链,以防止影响。
如有任何疑问,请参考我们的开发者文档或博客文章。如果您是企业客户并有额外问题或疑虑,请联系您的账户团队。