Let's Encrypt根证书将过期，请在9月30日前及时更新

yz0411 · 发表于 2021-9-29 23:57:22

本帖最后由 yz0411 于 2021-9-29 23:59 编辑

Skywalker 发表于 2021-9-29 23:41
我--force了一下怎么还是r3的根证书
难道是ecc的问题吗

windows的话进certmgr.msc把根证书里的DST Root CA X3这张证移到不受信任就可以了，顺便看下有没有ISRG Root X1这张证书，如果有的话就没问题了。基本上除了xp和很老的设备，大多数设备都有的。理论上就算不搞，9月30号以后也能无缝切换到ISRG Root X1这张根证书的
现在的R3其实已经是ISRG Root X1签发了吧，我同一张证书，在windows里证书链显示的是DST Root CA X3=>R3，手机Chrome里就显示的是ISRG Root X1=>R3

yz0411 · 发表于 2021-9-30 11:06:10

本帖最后由 yz0411 于 2021-9-30 11:17 编辑

Vicsh 发表于 2021-9-30 09:03
每个用户都这样搞得话，时间成本太高了，不如换个免费证书

不是的，这样做的目的是可以测试出9月30号以后，当你的设备不信任那张DST ROOT X3这张过期的根证书的时候，你的设备会不会不信任那张新的X1根证书，如果信任的话，直接无感切换，不需要重新签发的
https://letsencrypt.org/docs/certificate-compatibility/ 这里面列出了新的X1证书的兼容性表，大部分都能做到无感切换
就像我之前说的，同一个证书，在不同设备上，显示的证书链也会不同，Firefox还会使用自己的根证书库，归根到底是显示问题。我上面的那些操作的意思是如果不放心的话可以直接禁用那张即将过期的根证书提前看看效果

		自动登录	找回密码
密码			注册