Let 's Encrypt是一家總部位于加州的非營利認證機構(gòu)，該公司自2015年開始運營以來，已累計為上億網(wǎng)站頒發(fā)了數(shù)億份數(shù)字證書，確實在加強互聯(lián)網(wǎng)的安全性方面提供了便捷服務(wù)。但其IdentTrust的DST Root X3根證書在9月30日到期，盡管提前很長時間向客戶發(fā)出了通知，但仍然有許多公司還是遇到了問題。Bluecoat, Palo Alto Networks, Cisco, Guardian Firewall,谷歌Cloud, Fortinet, Cloudflare, Facebook, Sophos，cPanel和AWS等知名公司均可能受到影響。

　　背景介紹

　　當它第一次開始頒發(fā)證書時，Let 's對自己的ISRG Root X1證書與舊的根證書（IdentTrust的DST Root X3）進行交叉簽名加密，以確保其證書將立即受到幾乎所有設(shè)備的信任。經(jīng)過多年的運營，Let 's Encrypt的ISRG Root X1證書現(xiàn)在受到了大多數(shù)設(shè)備的信任，該公司也在一年前就開始通知用戶DST Root X3證書將于2021年9月30日到期。

　　這些證書內(nèi)置在您的操作系統(tǒng)中，通常在更新操作系統(tǒng)的正常過程中進行更新。這里會導致問題的證書是這個，IdenTrust DST根CA X3。

　　Let 's Encrypt一直在警告服務(wù)提供商和開發(fā)人員，他們可能需要采取行動，以防止9月30日之后出現(xiàn)任何中斷，但似乎證書的到期仍然給許多人帶來了問題。

　　CA證書過期到底有何風險？

　　據(jù)國內(nèi)證書認證機構(gòu)安信證書稱，CA證書過期會使其網(wǎng)站用戶面臨各種形式的基于網(wǎng)絡(luò)的安全風險。這可能是中間人攻擊，數(shù)據(jù)包嗅探，隱私信息被盜等，發(fā)生任何此類情況時，您的網(wǎng)站業(yè)務(wù)會受到相當大的影響，因為沒有人相信一個無法保護客戶數(shù)據(jù)的網(wǎng)站。

　　除了為安全風險打開閘門之外，它還降低了SEO排名，導致流量損失，數(shù)據(jù)盜竊和在線聲譽損失。而且很多主流瀏覽器（（例如Chrome，F(xiàn)irefox等）會向沒有有效CA證書的網(wǎng)站發(fā)出安全警告，大大降低了客戶體驗度。

　　此外，不更新SSL可能會使您（網(wǎng)站所有者）與現(xiàn)有法律法規(guī)沖突。全球的數(shù)據(jù)安全和隱私法要求網(wǎng)站所有者保護其用戶或客戶的最大利益。

　　Let 's Encrypt的根證書過期會影響誰？

　　英國安全研究人員斯科特·赫爾姆（Scott Helme）是最早關(guān)注這一問題的專家。2021年9月20日，赫爾姆撰文預測，“一些東西可能會崩潰”?？磥硭⒉皇氰饺藨n天。

　　根據(jù)Helme的說法，當DST Root X3證書過期時，許多主要組織似乎都遇到了一些問題，包括Bluecoat, Palo Alto Networks, Cisco, Catchpoint, Guardian Firewall, Monday.com, Cerb, OPNsense，谷歌Cloud, OVH, Auth0, Shopify, Xero, Fastly, Fortinet, Heroku, InstaPage, Cloudflare, MailGun, Facebook, Sophos，cPanel, AWS和DigitalOcean。值得注意的是，并非所有這些組織都證實受到了影響，在某些情況下，這些問題似乎與使用第三方服務(wù)有關(guān)。

　　赫爾姆說，問題出現(xiàn)后不久，許多公司就恢復了受影響的服務(wù)。然而，運行多年沒有收到更新的舊操作系統(tǒng)的設(shè)備可能會繼續(xù)遇到問題——如果他們沒有收到操作系統(tǒng)更新，他們也沒有收到新的證書，比如Let 's Encrypt的ISRG Root X1。

　　不相信ISRG Root X1的舊設(shè)備在訪問使用“讓我們加密證書”的網(wǎng)站時可能會收到證書警告。

　　赫爾姆在其文章中批出，如下這些客戶端將在 IdenTrust DST Root CA X3 到期后中斷。

　　OpenSSL <= 1.0.2

　　Windows < XP SP3

　　macOS < 10.12.1

　　iOS < 10（iPhone 5 是可以升級到 iOS 10 的最低型號）

　　Android < 7.1.1（但如果提供 ISRG Root X1 交叉簽名，則 >= 2.3.6 將工作）

　　Mozilla Firefox < 50

　　Ubuntu < 16.04

　　Debian < 8

　　Java 8 < 8u141

　　Java 7 < 7u151

　　NSS < 3.26

　　亞馬遜 FireOS（Silk瀏覽器）

　　Let 's Encrypt能做什么？

　　正如赫爾姆所說，這個問題的發(fā)生并不是因為Let's Encrypt做過或沒有做過什么，而是因為所有的證書最終都會過期，如果設(shè)備沒有更新，那么他們就不會收到新的替換證書。也就是說，Let's Encrypt并沒有在到期日期臨近時無所事事，他們一直在努力尋找解決方案。

　　早在2019年4月，赫爾姆就寫了Let's Encrypt公司施工圖過渡到ISRG根證書，當時Let's Encrypt計劃從IdenTrust根轉(zhuǎn)移到他們自己的根--ISRG根X1，該根證書將在2035年6月4日到期，這給了用戶相當長的時間。問題是，沒有多少設(shè)備收到必要的更新，包括這個新的ISRG根X1，事實上這個根證書是2015年發(fā)布的。如果大量設(shè)備沒有收到包含這個新根證書的更新，它們就不會信任它。這基本上和現(xiàn)在遇到的IdenTrust根證書過期的問題是一樣的，因為客戶端設(shè)備還沒有更新，他們也沒有收到新的ISRG根X1。

　　在根證書過期后不久，Let 's Encrypt報告說看到了比平常更多的證書續(xù)期，并指出客戶獲得證書可能需要更長的時間。由于證書過期而遇到問題的用戶已被引導到Let 's Encrypt社區(qū)論壇。目前相關(guān)問題正在該公司專門開辟的社區(qū)中火熱討論中。