ISRG celebrates 10 years of helping build a brighter Internet →

DST Root CA X3 Udløb (september 2021)

Seneste opdatering: | Se al dokumentation

Bemærk: Den engelske version er blevet opdateret siden oversættelsen () Se på engelsk

Den 30. september 2021 vil der være en lille ændring i, hvordan ældre browsere og enheder stoler på Let’s Encrypt certifikater. Hvis du besøger en typisk hjemmeside, du vil ikke bemærke en forskel - langt de fleste af dine besøgende vil stadig acceptere dit Let’s Encrypt certifikat. Hvis du leverer en API eller er nødt til at støtte IoT-enheder, kan du måske være nødt til at være lidt mere opmærksom på ændringen.

Let’s Encrypt har et “root-certifikat” kaldet ISRG Root X1. Moderne browsere og enheder stoler på Let’s Encrypt certifikatet installeret på din hjemmeside, fordi de inkluderer ISRG Root X1 i deres liste over rodcertifikater. For at sikre, at de certifikater, vi udsteder, er betroede på ældre enheder, vi har også en “cross-signatur” fra et ældre rodcertifikat: DST Root CA X3.

Da vi kom i gang, hjalp et ældre rodcertifikat (DST Root CA X3) os med at få ud af jorden og være betroet af næsten alle enheder straks. Det nyere root- certifikat (ISRG Root X1) har nu stor tillid til - men nogle ældre enheder vil aldrig stole på det, fordi de ikke får softwareopdateringer (for eksempel en iPhone 4 eller en HTC Dream). Klik her for en liste over hvilke platforme stoler ISRG Root X1.

DST Root CA X3 udløber den 30. september 2021. Det betyder, at de ældre enheder, der ikke stoler på ISRG Root X1 vil begynde at få certifikatadvarsler, når besøger websteder, der bruger Let’s Encrypt certifikater. Der er en vigtig undtagelse: ældre Android-enheder, der ikke stoler på ISRG Root X1 vil fortsætte med at fungere med Let’s Encrypt, takket være et særligt krydssignatur fra DST Root CA X3, der strækker sig forbi root’s udløb. Denne undtagelse virker kun på Android.

Hvad skal du gøre? For de fleste mennesker er der slet ikke noget! Vi har oprettet vores certifikatudstedelse, så dit websted vil gøre det rigtige i de fleste tilfælde, favorisere bred kompatibilitet. Hvis du angiver en API eller er nødt til at støtte IoT enheder, du skal sørge for to ting: (1) alle kunder i din API skal stole på ISRG Root X1 (ikke kun DST Root CA X3), og (2) hvis klienter på din API bruger OpenSSL, de skal bruge version 1..0 eller senere. I OpenSSL 1.0., en quirk i certifikatverifikation betyder, at selv klienter, der stoler på ISRG Root X1 vil mislykkes, når de præsenteres for det Android-kompatible certifikat kæde, vi anbefaler som standard.

Hvis du ønsker yderligere oplysninger om vores løbende ændringer i produktionskæden, så tjek venligst denne tråd i vores community.

Hvis du har spørgsmål om den kommende udløb, så skriv venligst til denne tråd på vores forum.