2020 年 11 月 Let's Encrypt 宣布将在次年更换根证书，这次更换根证书将导致大量用户无法正常访问网站，究其原因主要是 Android 7.1 及以下版本已经停止支持，谷歌不再更新其证书库，因此对于新签发的证书是没法信任的。

2020 年 12 月 Let's Encrypt 宣布问题暂时解决，因为合作方 IdenTrust 已经同意再续签三年的交叉验证，也就是为 Let's Encrypt 运营实体 ISRG 的证书提供交叉验证，而 IdenTrust 的证书早就内置在 Android 里了，所以可以继续访问。

如今三年之约至今过半，Let's Encrypt 也提前放出消息明确不会再续签，这对 IdenTrust 没什么影响，提前放出消息主要是给开发者和用户的，因为证书到期后旧版 Android 系统将无法访问那些使用 Let's Encrypt 签发证书的网站。

以下是时间点：

2024 年 2 月 8 日：Let's Encrypt 开始测试停止交叉验证

2024 年 6 月 6 日：Let's Encrypt 停止提供交叉验证

2024 年 9 月 30 日：DST ROOT CA X3 - ISRG ROOT X1 (交叉) 证书到期，由该证书签发的所有证书都将无法再信任

为什么不再续签交叉验证？

在 2020 年 11 月的时候，Let's Encrypt 统计发现 Android 7.1 及以下版本占 Android 的 33.8%，实际访问流量占比 1~5%，如果当时停止续签则在 2021 年这部分用户都无法访问 Let's Encrypt 签发的证书，这个流量占比并不低。

如今信任 Let's Encrypt 根证书即 ISRG ROOT X1 (非交叉) 的 Android 设备占比已经从 66% 提升到 93.9%，也就是仅有 6% 的设备仍然运行 Android 7.1 及以下版本，实际流量占比几乎可以忽略不计。

所以 Let's Encrypt 认为是时候停止交叉验证了，直接使用 ISRG ROOT 证书就可以了，而且 Android 5.0~7.1 用户可以安装火狐浏览器，火狐浏览器内置了 ISRG ROOT CA 证书所以可以继续访问。

不再交叉验证还有好处么？

对 Let's Encrypt 来说是有好处的，毕竟找 IdenTrust 交叉验证也是要花钱的，而且交叉验证意味着 TLS 握手时需要发送更多数据，而停止交叉验证后 TLS 握手发送的数据将减少 40%。

那最终影响的是哪些用户呢？

Android 4.4 及以下版本的安卓用户，搭载这些版本的设备既不能信任 ISRG ROOT CA 也不能安装火狐浏览器，所以是真没法访问那些使用 Let's Encrypt 签发的证书了，这部分流量占比自然更低。

哪些 “用户” 应该注意：

Let's Encrypt 提前放出消息主要是提醒网站管理员和 ACME 客户端的开发者，一来到明年 9 月停止交叉验证后确实会影响一部分用户访问，这可能导致网站流量下降、成交下降等；而来 ACME 客户端作者需要跟进一下更新代码确保能正确下载和安装证书链，避免出现无法信任的情况。