Let’s Encrypt错误签发数百万张证书 所有错误证书将在5天内吊销

Let’sEncrypt错误签发数百万张证书所有错误证书将在5天内吊销提醒：如果你使用Let’sEncrypt提供的免费SSL证书，请检查你提交申请时留的邮箱，如果邮箱收到来自Let’sEncrypt的通知则你的证书很可能会在未来5天内被吊销。如果你当时留的邮箱是随便填写的，那么基于稳妥考虑建议你重新申请并签发证书，确保旧证书不会被自动吊销。吊销工作将从国际协调时2022年1月28日16:00开始(UTC+0，下同)，最迟会在5天内完成吊销，如果快的话那么最近签发的错误证书很可能很快就会被吊销。吊销原因：根据Let’sEncrypt发布的公告，第三方仓库Boulder向ISRG(Let’sEncrypt的运营方)发出通知，该机构使用的ALPNTLS验证存在两个违规问题，因此ISRG必须对其TLS-APLN-01质询验证的工作方式进行更改。Let’sEncrypt工程师称在2022年1月26日00:48部署修复程序时发现，所有通过TLS-APLN-01质询颁发和验证的证书都是错误的。根据Let’sEncryptCertificatePolicy政策要求，证书颁发机构需在5天内让错误证书失效，Let’sEncrypt计划从2022年1月28日16:00开始吊销错误证书。但请注意，并非所有证书都受此问题影响，Let’sEncrypt仅会撤销受影响的错误证书，当前已经向相关用户发送邮件通知。Let’sEncrypt预计少于1%的活跃证书受此问题影响，但考虑到Let’sEncrypt活跃证书超过2.21亿张，即便是1%也影响数百万张证书，这对应着数百万个网站和网络服务。一旦证书被吊销HTTPS将出现连接失败，也就是直接导致网站或服务无法连接。——cnBeta

Let's Encrypt 宣布今年已签发 30 亿份域名证书

Let'sEncrypt宣布今年已签发30亿份域名证书负责运营Let'sEncrypt的非营利组织互联网安全研究集团（ISRG）表示，这家开放的证书授权机构（CA）今年已经累计签发了30亿份证书。Let'sEncrypt于2015年9月开始提供免费域名证书签发服务，签发的首个网站是helloworld.letsencrypt.org，在过去几年时间里一直为网站免费提供启用HTTPS（SSL/TLS）和加密通信所需的X.509数字证书。Let'sEncrypt自2018年8月开始，已经被所有主要的浏览器和操作系统以及所有主要的根证书程序（包括来自微软、谷歌、苹果、Mozilla、Oracle和黑莓的证书）直接信任。这个免费和自动化的CA允许任何域名所有者以零成本获得可信的证书。现在，该CA说它每天签发数百万份。来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

Cloudflare 将停止颁发交叉签名的 Let's Encrypt 证书

Cloudflare将停止颁发交叉签名的Let'sEncrypt证书Let'sEncrypt一直以来是Cloudflare用于颁发SSL证书的CA之一。受的影响，Cloudflare宣布将于2024年5月15日停止颁发交叉签名的证书，此更改仅适用于RSA证书，而不影响ECDSA证书。Cloudflare日前通过邮件通知用户，较旧的设备（如Android7以前的版本）和完全依赖交叉签名链的操作系统将会受到此次变更的影响，并建议可能受到影响的用户采取措施，否则2024年9月30日后这些用户将无法正常访问其网站。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

Let's Encrypt 计划终止 OCSP 服务

Let'sEncrypt计划终止OCSP服务今天，Let'sEncrypt宣布计划尽快终止对在线证书状态协议(OCSP)的支持，转而支持证书撤销列表(CRL)。OCSP和CRLs都是证书颁发机构(CAs)传达证书撤销信息的机制，但CRLs相比OCSP具有显著优势。此更改不会影响网站及其访问者，但某些非浏览器软件可能会受到影响。计划终止对OCSP的支持，主要是因为它对互联网隐私构成了相当大的风险。当有人使用浏览器或其他通过OCSP检查证书撤销的软件访问网站时，运营OCSP响应器的证书颁发机构(CA)会立即知道该访问者的特定IP地址正在访问哪个网站。建议现在依赖OCSP服务的任何人都尽快开始结束这种依赖。——

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响

Let'sEncrypt旧的根证书即将到期Android7.1.1及更早版本的用户将受影响今天Cloudflare发布关于Let'sEncrypt根证书变更的提示，这个提示其实Let'sEncrypt早在几年前就说了，去年也陆续说了，这是一个比较麻烦的问题。问题根源：Let'sEncrypt最初使用IdenTrust交叉签名的根证书，这个根证书自2000年以来就是有效的，因此广泛兼容各类老旧设备，包括Android7.1.1及此前的版本。后来Let'sEncrypt推出了自己的根证书ISRGRootX1，这份根证书属于新证书，一些老旧的、停止更新的系统由于缺乏开发商提供的更新，因此是无法信任该证书的。而IdenTrust交叉签名证书将在2024年9月30日到期，因此后续开发者也无法再申请签发基于IdenTrust的Let'sEncrypt证书。Cloudflare也停止签发旧证书：Cloudflare今天发布的公告说的是从今年5月15日开始，该平台不再签发基于IdenTrust的Let'sEncrypt证书，也就是后续签发的新证书全部都是ISRGRootX1的。这意味着如果网站仍然面向某些老旧系统，那么这些系统将无法访问网站，这可能会对网站产生轻微的流量影响。根据Let'sEncrypt的统计，目前超过93.9%的Android设备已经信任ISRGRootX1，但剩余个位数的老旧Android版本也就是7.1.1之前的无法信任。如果是大型网站或企业，建议考虑购买其他付费证书来提高兼容性，对于一般性网站那么基本可以考虑放弃支持Android7.1.1及之前的版本了。注：Android5.0~7.1用户可以安装Firefox浏览器，Firefox浏览器内置了ISRGROOTCA证书所以可以继续访问。...PC版：https://www.cnbeta.com.tw/articles/soft/1423804.htm手机版：https://m.cnbeta.com.tw/view/1423804.htm

Let's Encrypt签发10份新中级证书 包括5份2048 RSA证书和5份384 ECDSA证书

Let'sEncrypt签发10份新中级证书包括5份2048RSA证书和5份384ECDSA证书本次签发的证书包含5份2048位的RSA证书，根证书为ISRGRootX1证书，这些新证书编号从R10~R14，是R3和R4中级证书的替代品。5份P-384位ECDSA证书，新证书编号从E5~E9，但根证书方面有所不同，这些证书都有两个根证书版本，一个是ISRGRootX2，另一个是通过ISRGRootX1颁发或交叉签名。此次更新的证书只要包含两个特点，即定期轮换和缩小体积，其中定期轮换目的主要是保持互联网的敏捷性和安全性，缩小证书的生命周期、为给定密钥类型随机选择颁发者意味着无法预测证书从哪个中间证书颁发，这也是防止中间密钥固定帮助WebKPI保持敏捷的发展。缩小体积方面，证书体积的大小影响了TLS连接时的性能(时间)，ISRGRootX2目前已经被大多数平台所信任，因此Let'sEncrypt可以提供相同选择的改进版本，即相较于此前的ECDSA链大小减少了1/3。如果开发者愿意选择新的ECDSA证书的话(ECC证书)，这可以进一步缩短TLS握手时的往返，降低延迟、提升体验。此外本次更新的证书还更改了主题密钥ID字段的计算方式，从此前的SHA-1更改为截断的SHA-256，这也是删除SHA-1算法的一种方式；从证书扩展策略中删除CPSOID，这可以节省一些字节，虽然只有几十个字节，但可以在每天数以亿计的TLS握手中节省很多带宽。博客地址：https://letsencrypt.org/2024/03/19/new-intermediate-certificates.html所有新证书：https://letsencrypt.org/certificates/...PC版：https://www.cnbeta.com.tw/articles/soft/1424323.htm手机版：https://m.cnbeta.com.tw/view/1424323.htm