Мы обращаемся к вам, чтобы сообщить вам о предстоящем изменении, которое повлияет на совместимость устройств с сертификатами Let's Encrypt, выпущенными после 15 мая 2024 г. Мы обращаемся к вам, поскольку мы определили, что вы в настоящее время используете сертификаты Let's Encrypt через Universal SSL, Advanced. Диспетчер сертификатов, специальные сертификаты или SSL для SaaS. Мы рекомендуем вам ознакомиться с изменением Let's Encrypt и заранее внести все необходимые изменения.
Обзор изменений
Let's Encrypt выдает сертификаты через две цепочки: корневую цепочку ISRG X1 и корневую цепочку ISRG X1, перекрестно подписанную корневым центром сертификации DST X3 компании IdenTrust. Цепочка с перекрестной подписью позволила сертификатам Let's Encrypt завоевать широкое доверие, в то время как чистая цепочка за последние 3 года обеспечила совместимость с различными устройствами, в результате чего количество Android-устройств, доверяющих ISRG Root X1, увеличилось с 66% до 93,9%.
Let's Encrypt объявила, что срок действия цепочки с перекрестной подписью истекает 30 сентября 2024 года. В результате Cloudflare прекратит выдачу сертификатов из цепочки центров сертификации с перекрестной подписью 15 мая 2024 года.
Влияние
Истечение срока действия цепочки с перекрестной подписью в первую очередь повлияет на старые устройства (например, Android 7.0 и более ранние версии) и системы, которые полагаются исключительно на цепочку с перекрестной подписью и не имеют цепочки ISRG Root X1 в своем хранилище доверенных сертификатов. Это изменение может привести к сбоям проверки сертификатов на этих устройствах, что потенциально может привести к появлению предупреждающих сообщений или проблемам с доступом для пользователей, посещающих ваш веб-сайт.
Влияние на сертификаты, выданные через Universal SSL, Advanced Certificate Manager или SSL для SaaS:
- Чтобы подготовиться к истечению срока действия ЦС, после 15 мая Cloudflare больше не будет выдавать сертификаты из цепочки с перекрестной подписью. Сертификаты, выданные до 15 мая, будут по-прежнему выдаваться клиентам с цепочкой с перекрестной подписью. Сертификаты, выпущенные 15 мая или позже, будут использовать цепочку ISRG Root X1. Кроме того, это изменение влияет только на сертификаты RSA. Это не влияет на сертификаты ECDSA, выданные через Let's Encrypt. Сертификаты ECDSA сохранят тот же уровень совместимости, который они имеют сегодня.
Влияние на сертификаты, загруженные через пользовательские сертификаты:
- Сертификаты, загруженные в Cloudflare, объединяются в цепочку сертификатов, которую Cloudflare считает наиболее совместимой и эффективной. После 15 мая 2024 года все сертификаты Let's Encrypt, загруженные в Cloudflare, будут объединены с цепочкой ISRG Root X1 вместо цепочки с перекрестной подписью. Сертификаты, загруженные до 15 мая, будут продолжать использовать цепочку с перекрестной подписью до тех пор, пока этот сертификат не будет продлен.
Важные даты
15 мая 2024 г.: Cloudflare прекратит выдачу сертификатов из цепочки центров сертификации с перекрестной подписью. Кроме того, пользовательские сертификаты Let's Encrypt, загруженные после этой даты, будут связаны с цепочкой ISRG X1 вместо цепочки с перекрестной подписью.
30 сентября 2024 г. Срок действия цепочки центров сертификации с перекрестной подписью истечет.
Рекомендации:
- Чтобы уменьшить влияние этого изменения, мы рекомендуем предпринять следующие шаги:
- Измените центры сертификации. Если ваши клиенты отправляют запросы к вашему приложению с устаревших устройств и вы ожидаете, что это изменение повлияет на них, мы рекомендуем использовать другой центр сертификации или загрузить сертификат из выбранного вами центра сертификации.
- Мониторинг. После внедрения изменения мы рекомендуем отслеживать ваши каналы поддержки на предмет любых запросов, связанных с предупреждениями о сертификатах или проблемами доступа.
- Обновите хранилище доверенных сертификатов. Если вы контролируете клиентов, подключающихся к вашему приложению, мы рекомендуем обновить хранилище доверенных сертификатов, включив в него цепочку ISRG Root X1, чтобы предотвратить влияние.