事情在一段时间内是不稳定的，但是看起来让我们加密到一个独立的证书颁发机构(CA)的转变不会破坏一吨旧的Android手机。由于根证书过期，这在之前是一个严重的问题，但是让我们加密已经想出了一个解决方案。

Let's Encrypt是一个相当新的证书颁发机构，但它也是世界领先的证书颁发机构之一。该服务是推动整个Web运行在HTTPS上的主要参与者，作为一个自由、开放的颁发机构，它在短短四年时间里从零证书增长到10亿证书。对于普通用户来说,信任的CA的列表通常是操作系统或浏览器厂商出具任何新的CA有着悠久的推出,包括获得信任的CA的添加到列表中,地球上每一个操作系统和浏览器以及每个用户的更新。为了快速启动并运行，Let's Encrypt从一个已建立的CA IdenTrust获得了交叉签名，因此任何信任IdenTrust的浏览器或操作系统现在都可以信任Let's Encrypt，并且该服务可以开始颁发有用的证书。

在2016年推出的时候，我们Encrypt也发布了自己的根证书(“ISRG root X1”)，沐鸣开户测速并申请了各大软件平台的信任，大部分软件平台在当年的某个时候接受了它。现在，数年之后，随着IdenTrust的“DST Root X3”证书将于2021年9月到期，Let's Encrypt自力更生、依靠自己的根证书的时候到了。自从四年前提交这个文件以来，现在使用的所有网络操作系统肯定都更新了Let’s Encrypt's cert，对吧?

所有主流操作系统都是如此，除了一个。戴着白痴帽的Android正坐在房间的角落里，这是世界上唯一一个无法由其创造者集中更新的主要消费者操作系统。信不信由你，仍然有很多人在运行一个四年都没有更新过的Android版本。Let’s Encrypt表示，它在2016年12月发布的7.1.1版本中被添加到Android CA store中，根据谷歌的官方数据，33.8%的活跃Android用户使用的是比这个版本更早的版本。考虑到Android有25亿强大的月活跃用户基础，也就是说2016年有8.45亿人冻结了根库。哦,不。

罗恩王维

在今年早些时候的一篇博客文章中，“让我们加密吧”(Let’s Encrypt)敲响了警钟，称这将是一个问题，“这是一个相当棘手的问题。”我们承诺让地球上的每个人都拥有安全和尊重隐私的通信。我们知道，受Android升级问题影响最大的人是那些我们最想帮助的人——那些可能无法每四年购买一部新手机的人。不幸的是，我们不希望在交叉签名到期之前，Android的使用数量会有太大的变化。现在通过提高人们对这一变化的意识，我们希望帮助我们的社区找到最好的前进道路。”

一个过期的证书将会破坏依赖于Android系统CA存储来验证其加密连接的应用程序和浏览器。个别的应用程序开发人员可以改用有效的证书，精明的用户可以安装Firefox(提供自己的CA商店)。但是大量的服务仍然会中断。

昨天，Let's Encrypt宣布他们已经找到了一个解决方案，可以让那些旧的Android手机继续运行，而解决方案就是……继续使用IdenTrust的过期证书吗?Let’s Encrypt说:“IdenTrust已经同意从他们的DST根CA X3中为我们的ISRG根X1签发3年交叉签名。新的交叉符号将有点新颖，因为它超出了DST根CA X3的有效期。这个解决方案之所以有效，是因为Android故意不强制使用作为信任锚的证书的过期日期。ISRG和IdenTrust联系了我们的审计师和root项目，以审查该计划，确保没有任何合规问题。”

“让我们加密”继续解释，“代表DST根CA X3密钥对的自签名证书即将过期。但是浏览器和操作系统根存储库本身并不包含证书，沐鸣开户测速它们包含“信任锚”，而且验证证书的标准允许实现选择是否使用信任锚上的字段。Android故意选择不使用信任锚的notaafter字段。正如我们的ISRG Root X1没有被添加到旧的Android trust商店，DST Root CA X3也没有被删除。因此，它可以发出交叉签名，其有效性超出其自己的自签名证书的有效期而不产生任何问题。”

不久，Let's Encrypt将开始向用户提供ISRG Root X1和DST Root CA X3证书，称这将确保“对所有用户提供不间断的服务，避免我们一直担心的潜在破坏。”

新的交叉标志将在2024年初到期，届时2016年及之前的Android版本将会消亡。今天，你的例子是已经过时8年的Android安装基础从4.2版本开始，它占据了0.8%的市场份额。