使用Let’s Encrypt SSL憑證卻無法正常訪問?解決方法
資訊安全

為什麼網站使用Let’s Encrypt SSL憑證卻無法正常訪問?

為什麼我的SSL出問題了?

近日有部分網站發生免費SSL憑證無法正常運作,使得明明有使用免費SSL憑證服務的網站,在使用者端依然顯示不安全的問題發生,但問題究竟是出在哪裡呢?根據 Let’s Encrypt 官方的說明,有持續更新的電腦或手機設備,用戶端的瀏覽器會有ISRG Root X1的根憑證,得以讓使用者順利瀏覽安裝使用Let’s Encrypt SSL服務的網站,對於沒有持續更新作業系統(如Windows、Android、iOS、macOS等)的使用者,以往也能經由DST Root CA X3根憑證順利造訪裝有Let’s Encrypt SSL服務的網站。

不過DST Root CA X3根憑證已經在2021年9月30日到期,使得還在使用較舊版本作業系統或OpenSSL的使用者,在2021年10月1日開始,瀏覽裝有Let’s Encrypt SSL服務的網站時,出現不安全的提示而無法順利造訪網站。

 

解決SSL憑證問題的方法

為了解決目前遇到的困境,網站管理者有兩個方法可以採用:

1.提示告知使用者積極去更新作業系統以順利造訪網站:

但這個方法會遇到一些問題,有些使用者基於對設備的熟悉程度、使用習慣等因素,不會甚至不願意養成更新作業系統的習慣,或是一些設備太過老舊,已經無法支援去更新到最新版本的作業系統。對於這些使用者來說,就會一直處於無法順利造訪網站的情況之下。

2.更換SSL憑證:

由於支援採用的根憑證不同,目前尚未發現使用付費SSL憑證的網站有出現網站訪客無法造訪網站或出現不安全提示的問題,因此建議網站管理員可以先購買一年期SSL憑證來使用,除了可以解決目前遇到的問題之外,更能提升對網站與訪客的保障,以及免於因憑證週期短而忘記要經常更新憑證或網站無法順利認證的狀況。

 

使用哪些作業系統版本的訪客可能無法順利訪問網站呢?

以下為Let’s Encrypt官方公告目前相容與不相容的軟體系統與版本列表

(1)相容軟體:

Mozilla Firefox >= v2.0
Google Chrome
Internet Explorer on Windows XP SP3 and higher
Microsoft Edge
Android OS >= v2.3.6
Safari >= v4.0 on macOS
Safari on iOS >= v3.1
Debian Linux >= v6
Ubuntu Linux >= v12.04
NSS Library >= v3.11.9
Amazon FireOS (Silk Browser)
Cyanogen > v10
Jolla Sailfish OS > v1.1.2.16
Kindle > v3.4.1
Java 7 >= 7u111
Java 8 >= 8u101
Blackberry >= 10.3.3
PS4 game console with firmware >= 5.00

(2)不相容軟體:

Blackberry < v10.3.3
Android < v2.3.6
Nintendo 3DS
Windows XP prior to SP3
cannot handle SHA-2 signed certificates
Java 7 < 7u111
Java 8 < 8u101
Windows Live Mail (2012 mail client, not webmail)
cannot handle certificates without a CRL
PS3 game console
PS4 game console with firmware < 5.00

內容參考來源:
https://letsencrypt.org/zh-tw/docs/dst-root-ca-x3-expiration-september-2021/
https://letsencrypt.org/zh-tw/docs/certificate-compatibility/
SSL憑證購買連結

看完文章後有什麼心得想與我們分享...

%d 位部落客按了讚: