Let 's Encrypt是一家總部位于加州的非營(yíng)利認(rèn)證機(jī)構(gòu)，該公司自2015年開(kāi)始運(yùn)營(yíng)以來(lái)，已累計(jì)為上億網(wǎng)站頒發(fā)了數(shù)億份數(shù)字證書，確實(shí)在加強(qiáng)互聯(lián)網(wǎng)的安全性方面提供了便捷服務(wù)。但其IdentTrust的DST Root X3根證書在9月30日到期，盡管提前很長(zhǎng)時(shí)間向客戶發(fā)出了通知，但仍然有許多公司還是遇到了問(wèn)題。Bluecoat, Palo Alto Networks, Cisco, Guardian Firewall,谷歌Cloud, Fortinet, Cloudflare, Facebook, Sophos，cPanel和AWS等知名公司均可能受到影響。

　　背景介紹

　　當(dāng)它第一次開(kāi)始頒發(fā)證書時(shí)，Let 's對(duì)自己的ISRG Root X1證書與舊的根證書（IdentTrust的DST Root X3）進(jìn)行交叉簽名加密，以確保其證書將立即受到幾乎所有設(shè)備的信任。經(jīng)過(guò)多年的運(yùn)營(yíng)，Let 's Encrypt的ISRG Root X1證書現(xiàn)在受到了大多數(shù)設(shè)備的信任，該公司也在一年前就開(kāi)始通知用戶DST Root X3證書將于2021年9月30日到期。

　　這些證書內(nèi)置在您的操作系統(tǒng)中，通常在更新操作系統(tǒng)的正常過(guò)程中進(jìn)行更新。這里會(huì)導(dǎo)致問(wèn)題的證書是這個(gè)，IdenTrust DST根CA X3。

　　Let 's Encrypt一直在警告服務(wù)提供商和開(kāi)發(fā)人員，他們可能需要采取行動(dòng)，以防止9月30日之后出現(xiàn)任何中斷，但似乎證書的到期仍然給許多人帶來(lái)了問(wèn)題。

　　CA證書過(guò)期到底有何風(fēng)險(xiǎn)？

　　據(jù)國(guó)內(nèi)證書認(rèn)證機(jī)構(gòu)安信證書稱，CA證書過(guò)期會(huì)使其網(wǎng)站用戶面臨各種形式的基于網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。這可能是中間人攻擊，數(shù)據(jù)包嗅探，隱私信息被盜等，發(fā)生任何此類情況時(shí)，您的網(wǎng)站業(yè)務(wù)會(huì)受到相當(dāng)大的影響，因?yàn)闆](méi)有人相信一個(gè)無(wú)法保護(hù)客戶數(shù)據(jù)的網(wǎng)站。

　　除了為安全風(fēng)險(xiǎn)打開(kāi)閘門之外，它還降低了SEO排名，導(dǎo)致流量損失，數(shù)據(jù)盜竊和在線聲譽(yù)損失。而且很多主流瀏覽器（（例如Chrome，F(xiàn)irefox等）會(huì)向沒(méi)有有效CA證書的網(wǎng)站發(fā)出安全警告，大大降低了客戶體驗(yàn)度。

　　此外，不更新SSL可能會(huì)使您（網(wǎng)站所有者）與現(xiàn)有法律法規(guī)沖突。全球的數(shù)據(jù)安全和隱私法要求網(wǎng)站所有者保護(hù)其用戶或客戶的最大利益。

　　Let 's Encrypt的根證書過(guò)期會(huì)影響誰(shuí)？

　　英國(guó)安全研究人員斯科特·赫爾姆（Scott Helme）是最早關(guān)注這一問(wèn)題的專家。2021年9月20日，赫爾姆撰文預(yù)測(cè)，“一些東西可能會(huì)崩潰”?？磥?lái)他并不是杞人憂天。

　　根據(jù)Helme的說(shuō)法，當(dāng)DST Root X3證書過(guò)期時(shí)，許多主要組織似乎都遇到了一些問(wèn)題，包括Bluecoat, Palo Alto Networks, Cisco, Catchpoint, Guardian Firewall, Monday.com, Cerb, OPNsense，谷歌Cloud, OVH, Auth0, Shopify, Xero, Fastly, Fortinet, Heroku, InstaPage, Cloudflare, MailGun, Facebook, Sophos，cPanel, AWS和DigitalOcean。值得注意的是，并非所有這些組織都證實(shí)受到了影響，在某些情況下，這些問(wèn)題似乎與使用第三方服務(wù)有關(guān)。

　　赫爾姆說(shuō)，問(wèn)題出現(xiàn)后不久，許多公司就恢復(fù)了受影響的服務(wù)。然而，運(yùn)行多年沒(méi)有收到更新的舊操作系統(tǒng)的設(shè)備可能會(huì)繼續(xù)遇到問(wèn)題——如果他們沒(méi)有收到操作系統(tǒng)更新，他們也沒(méi)有收到新的證書，比如Let 's Encrypt的ISRG Root X1。

　　不相信ISRG Root X1的舊設(shè)備在訪問(wèn)使用“讓我們加密證書”的網(wǎng)站時(shí)可能會(huì)收到證書警告。

　　赫爾姆在其文章中批出，如下這些客戶端將在 IdenTrust DST Root CA X3 到期后中斷。

　　OpenSSL <= 1.0.2

　　Windows < XP SP3

　　macOS < 10.12.1

　　iOS < 10（iPhone 5 是可以升級(jí)到 iOS 10 的最低型號(hào)）

　　Android < 7.1.1（但如果提供 ISRG Root X1 交叉簽名，則 >= 2.3.6 將工作）

　　Mozilla Firefox < 50

　　Ubuntu < 16.04

　　Debian < 8

　　Java 8 < 8u141

　　Java 7 < 7u151

　　NSS < 3.26

　　亞馬遜 FireOS（Silk瀏覽器）

　　Let 's Encrypt能做什么？

　　正如赫爾姆所說(shuō)，這個(gè)問(wèn)題的發(fā)生并不是因?yàn)長(zhǎng)et's Encrypt做過(guò)或沒(méi)有做過(guò)什么，而是因?yàn)樗械淖C書最終都會(huì)過(guò)期，如果設(shè)備沒(méi)有更新，那么他們就不會(huì)收到新的替換證書。也就是說(shuō)，Let's Encrypt并沒(méi)有在到期日期臨近時(shí)無(wú)所事事，他們一直在努力尋找解決方案。

　　早在2019年4月，赫爾姆就寫了Let's Encrypt公司施工圖過(guò)渡到ISRG根證書，當(dāng)時(shí)Let's Encrypt計(jì)劃從IdenTrust根轉(zhuǎn)移到他們自己的根--ISRG根X1，該根證書將在2035年6月4日到期，這給了用戶相當(dāng)長(zhǎng)的時(shí)間。問(wèn)題是，沒(méi)有多少設(shè)備收到必要的更新，包括這個(gè)新的ISRG根X1，事實(shí)上這個(gè)根證書是2015年發(fā)布的。如果大量設(shè)備沒(méi)有收到包含這個(gè)新根證書的更新，它們就不會(huì)信任它。這基本上和現(xiàn)在遇到的IdenTrust根證書過(guò)期的問(wèn)題是一樣的，因?yàn)榭蛻舳嗽O(shè)備還沒(méi)有更新，他們也沒(méi)有收到新的ISRG根X1。

　　在根證書過(guò)期后不久，Let 's Encrypt報(bào)告說(shuō)看到了比平常更多的證書續(xù)期，并指出客戶獲得證書可能需要更長(zhǎng)的時(shí)間。由于證書過(guò)期而遇到問(wèn)題的用戶已被引導(dǎo)到Let 's Encrypt社區(qū)論壇。目前相關(guān)問(wèn)題正在該公司專門開(kāi)辟的社區(qū)中火熱討論中。