Let's Encrypt DST Root 根证书再续期三年，老哥们怎么看？

就问对用户有什么影响？

@whileFalse Android 7- / iOS 9- 可以免配置直接继续用，之前说的是明年 9 月之后就不行了

@alan0liang 那其实是原来有影响，现在没有影响……

@whileFalse Let's Encrypt 的 OCSP 验证服务器因不可抗拒的原因是无法访问的，这会导致在某些要求强制验证 OCSP 的浏览器下，第一次打开会变慢，具体体现在 IE 和 Safari 上；不过可以通过服务器缓存 OCSP 响应的方式来暂时解决，不过还是治标不治本

@Noisky 看他这意思不是根证书续期，而是直接拿 DST Root CA 签了 ISRG Root X1 （本来是 root，新链里变成了一级 intermediate ），相当于是强行让原来没有 ISRG 根的设备也承认这个根；真正签最终的证书的还是 R3 （之前是一级，新链里的二级 intermediate ）没变，所以 OCSP 服务器应该暂时还是 R3 标的 r3.o.lencr.org ；而 R3 过期（ 2021-9-30 ）之后肯定会变（ r5.o.lencr.org ？）

@alan0liang 楼主链接里的文章只说了 Android，请问 iOS 是在哪提到的？

@shansing iOS 9- 的设备实在是太少了（不过我家里恰好有一个 iOS 7 的 iPad，所以能确认至少 iOS 7 还没有），所以文章没有提到；但是 ISRG Root X1 确实是在 iOS 10 才引入的。您可以到 Apple 的网站上查证：iOS 9 https://support.apple.com/zh-cn/HT205205 里面没有提到 ISRG Root X1，而 iOS 10 https://support.apple.com/zh-cn/HT207177 里面有。

@alan0liang 我知道 ISRG Root X1 不兼容 iOS 9-，问题是怎么确定 iOS 9- “可以免配置直接继续用”，因为原文只说对于 Android 可以继续用旧根 DST Root CA X3 （交叉）签名，因为 Android 会无视其 notAfter 字段，没有说 iOS 也不校验根证书的时间。

@shansing 我确实没注意到这个问题……我回头去试试

Stack Exchange 上有一个相关问题： https://security.stackexchange.com/a/120471，按照回答的意思（我理解）是一般的现代实现都不要求根证书在有效期内，但是不能依赖这个特性，因为不同的系统上可能有不同的实现。

好像还是可以用的吧，就是信任度有点问题，要求不高的也无所谓，但对于交叉根证书问题一直是硬伤。

@Noisky 据我所知，LE 通过趁更换了新精简版中间证书时顺带换了 OCSP 地址，解决了这个问题。

该用还是用着，这种小 CA 不可能跟某个现在属于 360 的公司那样直接收购一个已有根证书的……