最后更新:Aug 2, 2023 | 所有文档

平台能否验证Let’s Encrypt证书的主要决定因素是,该平台是否信任ISRG的“ISRG Root X1”证书。 在2021年9月之前, 有些平台即使未信任 ISRG Root X1 证书也可以验证我们的证书,因为它们信任IdenTrust的 “DST Root CA X3” 证书。 自2021年10月起,只有那些信任ISRG Root X1的平台才能验证Let’s Encrypt证书(Android平台除外)。

如果您的证书只能在部分已知的兼容平台上通过验证,原因可能是网站服务器配置不当。 如果您在较新的系统中遇到问题,最常见的原因是网站没有提供正确的证书链。 您可以使用 SSL Labs 的服务器测试来测试您站点的兼容性。 如果这个测试仍旧不能帮助您确定问题所在,您可以在我们的社区论坛中寻求帮助。

信任ISRG RootX1的平台

Chrome、Safari、Edge、Opera 浏览器信任的根证书通常与操作系统一致。 Firefox 是例外:它有自己的根证书列表。 不久以后 Chrome 也将有独立的根证书列表

信任DST Root CA X3但不信任ISRG Root X1的平台

这些平台在2021年9月前可以使用, 但是现在不再验证 Let’s Encrypt 证书。

  • macOS < 10.12.1
  • iOS < 10
  • Mozilla Firefox < 50
  • Ubuntu >= intrepid / 8.10
  • Debian >= squeeze / 6, < jessie /8
  • Java 8 >= 8u101, < 8u141
  • Java 7 >= 7u111, < 7u151
  • NSS >= v3.11.9, < 3.26
  • Amazon FireOS (Silk Browser) (版本范围未知)
  • Cyanogen > v10 (添加 ISRG Root X1 信任的版本未知)
  • Jolla Sailfish OS > v1.1.2.16 (添加 ISRG Root X1 信任的版本未知)
  • Kindle > v3.4.1 (添加 ISRG Root X1 信任的版本未知)
  • Blackberry >= 10.3.3 (添加 ISRG Root X1 信任的版本未知)
  • 固件 >= 5.00 的 PS4 游戏机 (添加 ISRG Root X1 信任的版本未知)

已知不兼容的平台

  • Blackberry < v10.3.3
  • Android < v2.3.6
  • Nintendo 3DS
  • Windows XP SP3 之前的系统
    • 无法处理 SHA-2 签名的证书
  • Java 7 < 7u111
  • Java 8 < 8u101
  • Windows Live Mail(2012 版邮件客户端,而非网页端邮件服务)
    • 无法处理不包含CRL的证书
  • PS3 游戏机
  • PS4 游戏机(固件版本 < 5.00 )

ISRG Root X2(新 ECDSA 根证书):即将推出

我们已将 ISRG Root X2 提交至 Microsoft、Apple、Google、Mozilla 和 Oracle 的根证书项目。

此前 ISRG Root X2 就已经通过 ISRG Root X1 的交叉签名得到了广泛信任, 多个根证书项目也已接纳 ISRG Root X2 作为可信根证书。

关于根证书的准入进展,请查阅我们的社群论坛讨论帖

在等待 ISRG Root X2 根证书得到广泛信任的同时,您也可以主动选择由 ISRG Root X2 为您颁发 ECDSA 证书。 详情请见我们的社群论坛讨论帖