Let's Encrypt 证书链变更及其对 Cloudflare 客户的影响

背景与决策原因

Let's Encrypt 与 IdenTrust 的交叉签名证书链将于 2024 年 9 月 30 日到期。Cloudflare 产品经理 Dina Kozlov 详细解释了这一变更的背景及其潜在影响。Let's Encrypt 最初通过与 IdenTrust 的 DST Root CA X3 交叉签名来确保兼容性，但随着其 ISRG Root X1 证书的广泛接受，交叉签名的需求减少。然而，为了继续支持旧版 Android 设备（如运行 7.1.1 或更早版本的设备），Let's Encrypt 在 2021 年重新实施了交叉签名。这一临时措施将于 2024 年 9 月 30 日到期。

对 Cloudflare 客户的影响

受此变更影响的客户包括使用 Cloudflare 的 Advanced Certificate Manager 或 SSL for SaaS 的用户。建议这些用户更新信任库以包含 ISRG Root X1 证书。此外，客户还可以选择使用 Google Trust Services 作为替代方案，相关操作指南可在 Cloudflare 的开发者文档中找到。

过渡计划

Cloudflare 将在变更前 90 天或一个证书生命周期内自动将 Let's Encrypt 证书迁移至其他证书颁发机构（CA）。这一自动迁移适用于选择“默认 CA”选项的 Universal SSL 和 SSL for SaaS 客户。对于明确选择 Let's Encrypt 作为 CA 的客户，Cloudflare 将通过电子邮件通知其证书列表及对旧设备的潜在影响。2024 年 9 月 9 日后，所有由 Cloudflare 提供的 Let's Encrypt 证书将使用 ISRG Root X1 链。

Let's Encrypt 的数据与预期

Let's Encrypt 的数据显示，目前已有 93.9% 的 Android 设备信任 ISRG Root X1 证书，预计这一比例将在 2024 年持续增长。尽管 Let's Encrypt 计划于 2024 年 6 月 6 日停止从交叉签名链颁发证书，Cloudflare 将继续支持该链，直到 2024 年 9 月 9 日。

社区反应

Hacker News 用户对 Let's Encrypt 和 Cloudflare 的公告进行了热烈讨论。用户 jrochkind1 赞扬 Let's Encrypt 提前 14 个月通知社区的做法，认为这是对社区的负责任态度。用户 skybrian 则指出，到期日可能导致突然的广泛问题，而非逐步过渡，但他也认可 Let's Encrypt 尽量减少影响的努力，并猜测未来可能会重新引入 Let's Encrypt 以支持新网站。

总结

尽管这一变更会影响少数客户端，Cloudflare 支持 Let's Encrypt 的决策，认为这将有助于构建更安全、更灵活的互联网生态系统。用户应密切关注相关通知，并采取必要措施以确保无缝过渡。