Let's Encrypt 宣布今年已签发 30 亿份域名证书

Let'sEncrypt宣布今年已签发30亿份域名证书负责运营Let'sEncrypt的非营利组织互联网安全研究集团（ISRG）表示，这家开放的证书授权机构（CA）今年已经累计签发了30亿份证书。Let'sEncrypt于2015年9月开始提供免费域名证书签发服务，签发的首个网站是helloworld.letsencrypt.org，在过去几年时间里一直为网站免费提供启用HTTPS（SSL/TLS）和加密通信所需的X.509数字证书。Let'sEncrypt自2018年8月开始，已经被所有主要的浏览器和操作系统以及所有主要的根证书程序（包括来自微软、谷歌、苹果、Mozilla、Oracle和黑莓的证书）直接信任。这个免费和自动化的CA允许任何域名所有者以零成本获得可信的证书。现在，该CA说它每天签发数百万份。来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

Let’s Encrypt计划从2022年1月28日16:00开始吊销错误证书

Let’sEncrypt错误签发数百万张证书所有错误证书将在5天内吊销根据Let’sEncrypt发布的公告，第三方仓库Boulder向ISRG(Let’sEncrypt的运营方)发出通知，该机构使用的ALPNTLS验证存在两个违规问题，因此ISRG必须对其TLS-APLN-01质询验证的工作方式进行更改。Let’sEncrypt工程师称在2022年1月26日00:48部署修复程序时发现，所有通过TLS-APLN-01质询颁发和验证的证书都是错误的。根据Let’sEncryptCertificatePolicy政策要求，证书颁发机构需在5天内让错误证书失效，Let’sEncrypt计划从2022年1月28日16:00开始吊销错误证书。

Cloudflare 将停止颁发交叉签名的 Let's Encrypt 证书

Cloudflare将停止颁发交叉签名的Let'sEncrypt证书Let'sEncrypt一直以来是Cloudflare用于颁发SSL证书的CA之一。受的影响，Cloudflare宣布将于2024年5月15日停止颁发交叉签名的证书，此更改仅适用于RSA证书，而不影响ECDSA证书。Cloudflare日前通过邮件通知用户，较旧的设备（如Android7以前的版本）和完全依赖交叉签名链的操作系统将会受到此次变更的影响，并建议可能受到影响的用户采取措施，否则2024年9月30日后这些用户将无法正常访问其网站。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

Let's Encrypt 计划终止 OCSP 服务

Let'sEncrypt计划终止OCSP服务今天，Let'sEncrypt宣布计划尽快终止对在线证书状态协议(OCSP)的支持，转而支持证书撤销列表(CRL)。OCSP和CRLs都是证书颁发机构(CAs)传达证书撤销信息的机制，但CRLs相比OCSP具有显著优势。此更改不会影响网站及其访问者，但某些非浏览器软件可能会受到影响。计划终止对OCSP的支持，主要是因为它对互联网隐私构成了相当大的风险。当有人使用浏览器或其他通过OCSP检查证书撤销的软件访问网站时，运营OCSP响应器的证书颁发机构(CA)会立即知道该访问者的特定IP地址正在访问哪个网站。建议现在依赖OCSP服务的任何人都尽快开始结束这种依赖。——

Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销

Let’sEncrypt错误签发数百万张证书所有错误证书将在5天内吊销提醒：如果你使用Let’sEncrypt提供的免费SSL证书，请检查你提交申请时留的邮箱，如果邮箱收到来自Let’sEncrypt的通知则你的证书很可能会在未来5天内被吊销。如果你当时留的邮箱是随便填写的，那么基于稳妥考虑建议你重新申请并签发证书，确保旧证书不会被自动吊销。吊销工作将从国际协调时2022年1月28日16:00开始(UTC+0，下同)，最迟会在5天内完成吊销，如果快的话那么最近签发的错误证书很可能很快就会被吊销。吊销原因：根据Let’sEncrypt发布的公告，第三方仓库Boulder向ISRG(Let’sEncrypt的运营方)发出通知，该机构使用的ALPNTLS验证存在两个违规问题，因此ISRG必须对其TLS-APLN-01质询验证的工作方式进行更改。Let’sEncrypt工程师称在2022年1月26日00:48部署修复程序时发现，所有通过TLS-APLN-01质询颁发和验证的证书都是错误的。根据Let’sEncryptCertificatePolicy政策要求，证书颁发机构需在5天内让错误证书失效，Let’sEncrypt计划从2022年1月28日16:00开始吊销错误证书。但请注意，并非所有证书都受此问题影响，Let’sEncrypt仅会撤销受影响的错误证书，当前已经向相关用户发送邮件通知。Let’sEncrypt预计少于1%的活跃证书受此问题影响，但考虑到Let’sEncrypt活跃证书超过2.21亿张，即便是1%也影响数百万张证书，这对应着数百万个网站和网络服务。一旦证书被吊销HTTPS将出现连接失败，也就是直接导致网站或服务无法连接。——cnBeta

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响

Let'sEncrypt旧的根证书即将到期Android7.1.1及更早版本的用户将受影响今天Cloudflare发布关于Let'sEncrypt根证书变更的提示，这个提示其实Let'sEncrypt早在几年前就说了，去年也陆续说了，这是一个比较麻烦的问题。问题根源：Let'sEncrypt最初使用IdenTrust交叉签名的根证书，这个根证书自2000年以来就是有效的，因此广泛兼容各类老旧设备，包括Android7.1.1及此前的版本。后来Let'sEncrypt推出了自己的根证书ISRGRootX1，这份根证书属于新证书，一些老旧的、停止更新的系统由于缺乏开发商提供的更新，因此是无法信任该证书的。而IdenTrust交叉签名证书将在2024年9月30日到期，因此后续开发者也无法再申请签发基于IdenTrust的Let'sEncrypt证书。Cloudflare也停止签发旧证书：Cloudflare今天发布的公告说的是从今年5月15日开始，该平台不再签发基于IdenTrust的Let'sEncrypt证书，也就是后续签发的新证书全部都是ISRGRootX1的。这意味着如果网站仍然面向某些老旧系统，那么这些系统将无法访问网站，这可能会对网站产生轻微的流量影响。根据Let'sEncrypt的统计，目前超过93.9%的Android设备已经信任ISRGRootX1，但剩余个位数的老旧Android版本也就是7.1.1之前的无法信任。如果是大型网站或企业，建议考虑购买其他付费证书来提高兼容性，对于一般性网站那么基本可以考虑放弃支持Android7.1.1及之前的版本了。注：Android5.0~7.1用户可以安装Firefox浏览器，Firefox浏览器内置了ISRGROOTCA证书所以可以继续访问。...PC版：https://www.cnbeta.com.tw/articles/soft/1423804.htm手机版：https://m.cnbeta.com.tw/view/1423804.htm