安全研究员 Scott Helme 警告称：作为全球最大 HTTPs 证书提供商之一的 Let's Encrypt，即将于下周停用旧版根证书（Root CA）。这意味着数百万计依赖它的网站必须在 9 月 30 日前及时更新，不然将面临不受计算机、设备或 Web 浏览器信任的困扰。

据悉，Let's Encrypt 是一个由非营利性组织 互联网安全研究小组（ISRG）提供的免费、自动化和开放的证书颁发机构(CA)，简单的说，就是为网站提供免费的 SSL/TLS 证书。数据显示，自2014年成立以来，截止2021年9月初，Let’s Encrypt已经总计已经颁发了超过20亿份证书，目前已经为2.6亿个网站提供 TLS 证书。

早在2020年，Let’s Encrypt就宣布其服务使用的一个由IdenTrust提供的根证书DST Root CA X3将于2021年9月1日到期，它将用自己命名为ISRG Root X1的根证书为过期做准备。此次，Let’s Encrypt停用旧版根证书将有一大批网站遭到影响。

然而 Let's Encrypt 当前使用的 IdentTrust DST Root CA X3 根证书，也即将于下周过期。对于大部分网站的访客来说，9 月 30 日可能是个波澜不惊的一天。

但是对于较旧的设备来说，可能还是会遇到一些问题 ——正如 AddTrust External CA Root 在今年 5 月遭遇的根证书过期中断那样，造成Stripe、Red Hat 和 Roku 都受到了影响。

Scott Helme 在一篇博文中写道：“考虑到 Let's Encrypt 和 AddTrust 之间的体量差异，我有预感 IdenTrust 根证书到期时又会让历史重演，甚至可能引发更多的问题”。

如果你的网站使用的Let's Encrypt品牌根证书过期的话，就会出现的网站兼容性降低，甚至部分网站不能访问的现象，而这无疑会严重影响用户体验。

当然，潜在易受影响的，主要是那些不怎么定期更新的设备 —— 比如嵌入式系统、或运行多年前软件版本的智能手机。

目前已知以下软件或设备会受到影响：

• OpenSSL <= 1.0.2
• Windows < XP SP3
• macOS < 10.12.1
• iOS < 10 (iPhone 5 及以上的型号可以更新到 iOS 10)
• Android < 7.1.1 (但是 >= 2.3.6 的版本可以在交叉签名了 ISRG Root X1 根证书的前提下工作)
• Mozilla Firefox < 50
• Ubuntu < 16.04
• Debian < 8
• Java 8 < 8u141
• Java 7 < 7u151
• NSS < 3.26
• Amazon FireOS (Silk Browser)

以下软件或设备可能会受到影响：

• Cyanogen > v10
• Jolla Sailfish OS > v1.1.2.16
• Kindle > v3.4.1
• Blackberry >= 10.3.3
• PS4 game console with firmware >= 5.00
• IIS
  鉴于 Android 生态有着长期存在且众所周知的问题，为了防止大多数智能机受到本次事件的影响，Let's Encrypt 已于今年早些时候未雨绸缪地过渡到了自家的 ISRG Root X1 证书（到期时间为 2035 年）。

虽然包括 Android 7.1.1（Nougat）及更早版本的设备并不信任它，但 Let's Encrypt 还是能够通过对自颁证书进行交叉签名的方式，让大多数 Android 设备可在未来三年内避免受到波及。

但若你还想在 Android 5.0（Lollipop）上安装 Firefox，最好还是尽早为迁移至新平台做打算。