Let’s Encrypt 的ssl证书即将过期，它可能会破坏您的设备

最大的 HTTPS 证书提供商之一Let’s Encrypt将在下周停止使用旧的根证书——这意味着您可能需要升级您的设备以防止它们被破坏。

Let’s Encrypt 是一家免费使用的非营利组织，它颁发证书来加密您的设备和更广泛的互联网之间的连接，确保没有人可以拦截和窃取您传输中的数据。仅数百万​​个网站就依赖于 Let’s Encrypt。但是，正如安全研究员 Scott Helme 警告的那样，Let’s Encrypt 当前使用的根证书——IdentTrust DST Root CA X3——将于 9 月 30 日到期。在此之后，计算机、设备和 Web 客户端——例如浏览器——将不再信任此证书颁发机构颁发的证书。

对于绝大多数网站用户来说，没有什么可担心的，9月30日将照常营业。但是，较旧的设备可能会遇到一些问题，就像 AddTrust 外部 CA Root 在 5 月份到期时一样。Stripe、Red Hat 和 Roku 都因此遭受了中断。

可能受证书到期影响的设备是那些不定期更新的设备，例如设计为不会自动更新的嵌入式系统或运行多年软件版本的智能手机。运行旧版本 macOS 2016 和 Windows XP（带有 Service Pack 3）的用户可能会遇到问题，以及依赖 OpenSSL 1.0.2 或更早版本的客户端以及尚未升级到更新固件的旧版 PlayStation。

虽然用 Let’s Encrypt 的话说，Android存在“操作系统更新的长期存在且众所周知的问题”，但该非营利组织有一个解决方法，可以防止大多数智能手机受到过期影响。该组织今年过渡到了自己的 ISRG Root X1 证书，该证书要到 2035 年才会过期。虽然许多Android设备仍然不信任该证书——即 Android (Nougat) 7.1.1 及更早版本——但 Let’s Encrypt 获得了为其自己的证书进行交叉签名，其有效期比签名根更长，这意味着大多数 Android 设备应在三年内保持无破损。

Let’s Encrypt 表示，一些 Android 设备可能仍会遇到问题，并建议运行 Android (Lollipop) 5.0 的用户安装 Firefox。

“对于 Android 手机的内置浏览器，受信任的根证书列表来自操作系统——这在这些旧手机上已经过时，”Let’s Encrypt 解释说。“然而，Firefox 目前在浏览器中是独一无二的——它附带了自己的受信任根证书列表。”

自 2014 年成立以来，截至 9 月初，Let’s Encrypt 已颁发了超过 20 亿份证书，它告诉 TechCrunch，用户应该查看有多少客户端正在使用受影响的 OpenSSL 版本和多年历史的操作系统。对于那些无法升级的人，它的建议是“研究使用我们新的交叉签名服务证书链是否有意义。”

很难预测 9 月 30 日会发生什么，但正如 Helme 所说：“至少有某件事，某处会破裂。”