https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem 这个证书的作用是什么
这个链接指向的是 Let’s Encrypt 早期非常关键的一个证书:ISRG Root X1 交叉签名证书(由 IdenTrust 的 DST Root CA X3 签名)。
简单来说,它的作用是解决“信任链”的兼容性问题,让那些“不认识” Let’s Encrypt 的老旧设备也能正常访问你的网站。
核心背景:新老根证书的交替
要理解这个证书,需要知道两个角色:
* ISRG Root X1:这是 Let’s Encrypt 自己的根证书(亲儿子)。它很新,老旧设备(比如 Android 7.1 以前的手机)的系统里没有内置它。
* DST Root CA X3:这是 IdenTrust 公司的根证书(老牌大哥)。它非常资深,几乎全世界所有的老设备都信任它。
这个证书的具体作用
这个 .pem 文件是一个中间证书。它的特殊之处在于,它声明了:
“虽然我是 ISRG Root X1(Let’s Encrypt 的根),但我同时也得到了 DST Root CA X3(老牌大哥)的担保。”
当你的服务器发送这个证书链时,会产生两种效果:
- 现代设备:看到 ISRG Root X1,直接信任,访问成功。
- 老旧设备:不认识 ISRG Root X1,但它顺着证书链往上看,发现了 DST Root CA X3 的签名。因为它信任这个“老牌大哥”,所以也会顺带着信任你的网站。
为什么现在这个链接不那么常用了?
因为它已经“过期”或“退役”了。
- 2021 年 9 月 30 日:IdenTrust 的 DST Root CA X3 根证书正式过期。
- 现状:目前 Let’s Encrypt 已经全面转向使用自己的根证书,或者使用新的交叉签名方案来兼容那些极少数的长命老设备。
什么时候需要它?
在过去,如果你在配置 Nginx 的 ssl_certificate(即 fullchain.pem)时,如果发现老安卓手机访问报错“证书不可信”,你就需要把这个交叉签名证书的内容合并到你的证书链文件中。
现在的操作建议:
如果你使用的是现代的客户端(Certbot, acme.sh),它们会自动为你处理证书链。除非你正在维护一套极其古老的嵌入式系统或需要兼容 Android 5.0 以下的设备,否则你不需要手动去下载和配置这个特定的 .pem 文件。
总结
这个证书是 Let’s Encrypt 发展史上的“兼容性补丁”。它利用老牌 CA 的信任背书,帮助当时还名不见经传的 Let’s Encrypt 快速被全球设备接纳。
curl -O https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem
openssl x509 -in lets-encrypt-x3-cross-signed.pem -dates -noout
notBefore=Mar 17 16:40:46 2016 GMT
notAfter=Mar 17 16:40:46 2021 GMT
确实过期了!