Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销 ======== TLS-ALPN-01 影响有限 用DNS和HTTP的无影响 解决方案就是强制重签证书，旧证书直接抛

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销 提醒：如果你使用Let’s Encrypt提供的免费SSL证书，请检查你提交申请时留的邮箱，如果邮箱收到来自Let’s Encrypt的通知则你的证书很可能会在未来5天内被吊销。 如果你当时留的邮箱是随便填写的，那么基于稳妥考虑建议你重新申请并签发证书，确保旧证书不会被自动吊销。 吊销工作将从国际协调时2022年1月28日16:00开始(UTC +0，下同)，最迟会在5天内完成吊销，如果快的话那么最近签发的错误证书很可能很快就会被吊销。 吊销原因：根据Let’s Encrypt发布的公告，第三方仓库Boulder向ISRG(Let’s Encrypt的运营方)发出通知，该机构使用的ALPN TLS验证存在两个违规问题，因此ISRG必须对其TLS-APLN-01质询验证的工作方式进行更改。 Let’s Encrypt工程师称在2022年1月26日00:48部署修复程序时发现，所有通过TLS-APLN-01质询颁发和验证的证书都是错误的。根据Let’s Encrypt Certificate Policy政策要求，证书颁发机构需在5天内让错误证书失效，Let’s Encrypt计划从2022年1月28日16:00开始吊销错误证书。 但请注意，并非所有证书都受此问题影响，Let’s Encrypt仅会撤销受影响的错误证书，当前已经向相关用户发送邮件通知。 Let’s Encrypt预计少于1%的活跃证书受此问题影响，但考虑到Let’s Encrypt活跃证书超过2.21亿张，即便是1%也影响数百万张证书，这对应着数百万个网站和网络服务。一旦证书被吊销HTTPS将出现连接失败，也就是直接导致网站或服务无法连接。 cnBeta

Let's Encrypt签发10份新中级证书 包括5份2048 RSA证书和5份384 ECDSA证书

Let's Encrypt签发10份新中级证书 包括5份2048 RSA证书和5份384 ECDSA证书 本次签发的证书包含 5 份 2048 位的 RSA 证书，根证书为 ISRG Root X1 证书，这些新证书编号从 R10~R14，是 R3 和 R4 中级证书的替代品。5 份 P-384 位 ECDSA 证书，新证书编号从 E5~E9，但根证书方面有所不同，这些证书都有两个根证书版本，一个是 ISRG Root X2，另一个是通过 ISRG Root X1 颁发或交叉签名。此次更新的证书只要包含两个特点，即定期轮换和缩小体积，其中定期轮换目的主要是保持互联网的敏捷性和安全性，缩小证书的生命周期、为给定密钥类型随机选择颁发者意味着无法预测证书从哪个中间证书颁发，这也是防止中间密钥固定帮助 WebKPI 保持敏捷的发展。缩小体积方面，证书体积的大小影响了 TLS 连接时的性能 (时间)，ISRG Root X2 目前已经被大多数平台所信任，因此 Let's Encrypt 可以提供相同选择的改进版本，即相较于此前的 ECDSA 链大小减少了 1/3。如果开发者愿意选择新的 ECDSA 证书的话 (ECC 证书)，这可以进一步缩短 TLS 握手时的往返，降低延迟、提升体验。此外本次更新的证书还更改了主题密钥 ID 字段的计算方式，从此前的 SHA-1 更改为截断的 SHA-256，这也是删除 SHA-1 算法的一种方式；从证书扩展策略中删除 CPS OID，这可以节省一些字节，虽然只有几十个字节，但可以在每天数以亿计的 TLS 握手中节省很多带宽。博客地址： ... PC版： 手机版：

Let's Encrypt已签署30亿份HTTPS证书

Let's Encrypt已签署30亿份HTTPS证书 ======== 所以老设备怎么办(笑 图源:2022 ISRG年度报告 p8 2022年 LE每天签两百五十万张证书，这意味着平均一秒就有三十张证书新鲜出炉。 从2015年开始 LE已经签了至少三十亿张证书，目前活跃证书2.3亿，已注册的域名接近一亿

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响 今天 Cloudflare 发布关于 Let's Encrypt 根证书变更的提示，这个提示其实 Let's Encrypt 早在几年前就说了，去年也陆续说了，这是一个比较麻烦的问题。问题根源：Let's Encrypt 最初使用 IdenTrust 交叉签名的根证书，这个根证书自 2000 年以来就是有效的，因此广泛兼容各类老旧设备，包括 Android 7.1.1 及此前的版本。后来 Let's Encrypt 推出了自己的根证书 ISRG Root X1，这份根证书属于新证书，一些老旧的、停止更新的系统由于缺乏开发商提供的更新，因此是无法信任该证书的。而 IdenTrust 交叉签名证书将在 2024 年 9 月 30 日到期，因此后续开发者也无法再申请签发基于 IdenTrust 的 Let's Encrypt 证书。Cloudflare 也停止签发旧证书：Cloudflare 今天发布的公告说的是从今年 5 月 15 日开始，该平台不再签发基于 IdenTrust 的 Let's Encrypt 证书，也就是后续签发的新证书全部都是 ISRG Root X1 的。这意味着如果网站仍然面向某些老旧系统，那么这些系统将无法访问网站，这可能会对网站产生轻微的流量影响。根据 Let's Encrypt 的统计，目前超过 93.9% 的 Android 设备已经信任 ISRG Root X1，但剩余个位数的老旧 Android 版本也就是 7.1.1 之前的无法信任。如果是大型网站或企业，建议考虑购买其他付费证书来提高兼容性，对于一般性网站那么基本可以考虑放弃支持 Android 7.1.1 及之前的版本了。注：Android 5.0~7.1 用户可以安装Firefox浏览器，Firefox浏览器内置了 ISRG ROOT CA 证书所以可以继续访问。 ... PC版： 手机版：

Let's Encrypt 即将变更证书链

Let's Encrypt 即将变更证书链 （英文） 2024 年 9 月 30 日，Let's Encrypt 与 IdenTrust 交叉签名的证书链将到期。 主要影响 Android 7 及更早的用户