V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Noisky
V2EX  ›  SSL

Let's Encrypt DST Root 根证书再续期三年,老哥们怎么看?

  •  
  •   Noisky · 341 天前 · 2459 次点击
    这是一个创建于 341 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://letsencrypt.org/2020/12/21/extending-android-compatibility.html

    根证书续期后签发的证书,OCSP 验证服务器还会变吗?

    目前已经换成 ZeroSSl,同样也支持 ACME 自动化部署和泛域名;

    本来挺期待新证书的,再观望观望吧..

    12 条回复    2021-01-16 21:18:47 +08:00
    whileFalse
        1
    whileFalse   341 天前
    就问对用户有什么影响?
    alan0liang
        2
    alan0liang   341 天前 via Android
    @whileFalse Android 7- / iOS 9- 可以免配置直接继续用,之前说的是明年 9 月之后就不行了
    whileFalse
        3
    whileFalse   341 天前
    @alan0liang 那其实是原来有影响,现在没有影响……
    Noisky
        4
    Noisky   340 天前
    @whileFalse Let's Encrypt 的 OCSP 验证服务器因不可抗拒的原因是无法访问的,这会导致在某些要求强制验证 OCSP 的浏览器下,第一次打开会变慢,具体体现在 IE 和 Safari 上;不过可以通过服务器缓存 OCSP 响应的方式来暂时解决,不过还是治标不治本
    alan0liang
        5
    alan0liang   340 天前 via Android
    @Noisky 看他这意思不是根证书续期,而是直接拿 DST Root CA 签了 ISRG Root X1 (本来是 root,新链里变成了一级 intermediate ),相当于是强行让原来没有 ISRG 根的设备也承认这个根;真正签最终的证书的还是 R3 (之前是一级,新链里的二级 intermediate )没变,所以 OCSP 服务器应该暂时还是 R3 标的 r3.o.lencr.org ;而 R3 过期( 2021-9-30 )之后肯定会变( r5.o.lencr.org ?)
    shansing
        6
    shansing   339 天前
    @alan0liang 楼主链接里的文章只说了 Android,请问 iOS 是在哪提到的?
    alan0liang
        7
    alan0liang   338 天前 via Android   ❤️ 1
    @shansing iOS 9- 的设备实在是太少了(不过我家里恰好有一个 iOS 7 的 iPad,所以能确认至少 iOS 7 还没有),所以文章没有提到;但是 ISRG Root X1 确实是在 iOS 10 才引入的。您可以到 Apple 的网站上查证:iOS 9 https://support.apple.com/zh-cn/HT205205 里面没有提到 ISRG Root X1,而 iOS 10 https://support.apple.com/zh-cn/HT207177 里面有。
    shansing
        8
    shansing   338 天前   ❤️ 1
    @alan0liang 我知道 ISRG Root X1 不兼容 iOS 9-,问题是怎么确定 iOS 9- “可以免配置直接继续用”,因为原文只说对于 Android 可以继续用旧根 DST Root CA X3 (交叉)签名,因为 Android 会无视其 notAfter 字段,没有说 iOS 也不校验根证书的时间。
    SHENGXINKAI
        10
    SHENGXINKAI   335 天前
    好像还是可以用的吧,就是信任度有点问题,要求不高的也无所谓,但对于交叉根证书问题一直是硬伤。
    wql
        11
    wql   316 天前 via Android
    @Noisky 据我所知,LE 通过趁更换了新精简版中间证书时顺带换了 OCSP 地址,解决了这个问题。
    wql
        12
    wql   316 天前 via Android
    该用还是用着,这种小 CA 不可能跟某个现在属于 360 的公司那样直接收购一个已有根证书的……
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3860 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:05 · PVG 17:05 · LAX 01:05 · JFK 04:05
    ♥ Do have faith in what you're doing.