这是一个创建于 1214 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://letsencrypt.org/2020/12/21/extending-android-compatibility.html
根证书续期后签发的证书,OCSP 验证服务器还会变吗?
目前已经换成 ZeroSSl,同样也支持 ACME 自动化部署和泛域名;
本来挺期待新证书的,再观望观望吧..
 |
1
whileFalse 2020-12-23 09:44:44 +08:00
就问对用户有什么影响?
|
 |
2
alan0liang 2020-12-23 16:40:32 +08:00 via Android
@whileFalse Android 7- / iOS 9- 可以免配置直接继续用,之前说的是明年 9 月之后就不行了
|
|
3
whileFalse 2020-12-23 16:55:27 +08:00
@alan0liang 那其实是原来有影响,现在没有影响……
|
 |
4
Noisky OP @whileFalse Let's Encrypt 的 OCSP 验证服务器因不可抗拒的原因是无法访问的,这会导致在某些要求强制验证 OCSP 的浏览器下,第一次打开会变慢,具体体现在 IE 和 Safari 上;不过可以通过服务器缓存 OCSP 响应的方式来暂时解决,不过还是治标不治本
|
|
5
alan0liang 2020-12-23 19:49:43 +08:00 via Android
@Noisky 看他这意思不是根证书续期,而是直接拿 DST Root CA 签了 ISRG Root X1 (本来是 root,新链里变成了一级 intermediate ),相当于是强行让原来没有 ISRG 根的设备也承认这个根;真正签最终的证书的还是 R3 (之前是一级,新链里的二级 intermediate )没变,所以 OCSP 服务器应该暂时还是 R3 标的 r3.o.lencr.org ;而 R3 过期( 2021-9-30 )之后肯定会变( r5.o.lencr.org ?)
|
 |
6
shansing 2020-12-25 14:11:36 +08:00
@alan0liang 楼主链接里的文章只说了 Android,请问 iOS 是在哪提到的?
|
|
7
alan0liang 2020-12-25 18:39:50 +08:00 via Android  1
@shansing iOS 9- 的设备实在是太少了(不过我家里恰好有一个 iOS 7 的 iPad,所以能确认至少 iOS 7 还没有),所以文章没有提到;但是 ISRG Root X1 确实是在 iOS 10 才引入的。您可以到 Apple 的网站上查证:iOS 9 https://support.apple.com/zh-cn/HT205205 里面没有提到 ISRG Root X1,而 iOS 10 https://support.apple.com/zh-cn/HT207177 里面有。
|
|
8
shansing 2020-12-25 21:16:38 +08:00 1
@alan0liang 我知道 ISRG Root X1 不兼容 iOS 9-,问题是怎么确定 iOS 9- “可以免配置直接继续用”,因为原文只说对于 Android 可以继续用旧根 DST Root CA X3 (交叉)签名,因为 Android 会无视其 notAfter 字段,没有说 iOS 也不校验根证书的时间。
|
|
9
alan0liang 2020-12-26 10:42:20 +08:00 via Android 1
@shansing 我确实没注意到这个问题……我回头去试试
Stack Exchange 上有一个相关问题: https://security.stackexchange.com/a/120471,按照回答的意思(我理解)是一般的现代实现都不要求根证书在有效期内,但是不能依赖这个特性,因为不同的系统上可能有不同的实现。 |
 |
10
SHENGXINKAI 2020-12-29 15:10:25 +08:00
好像还是可以用的吧,就是信任度有点问题,要求不高的也无所谓,但对于交叉根证书问题一直是硬伤。
|
 |
12
wql 2021-01-16 21:18:47 +08:00 via Android
该用还是用着,这种小 CA 不可能跟某个现在属于 360 的公司那样直接收购一个已有根证书的……
|
Select Language