Změna kořenového certifikátu Let's Encrypt

Od začátku svého působení Let's Encrypt vydává své certifikáty podepsané kořenovým certifikátem autority IdenTrust. A to z toho důvodu, že každé zařízení si s sebou nese seznam kořenových certifikátů, kterým má důvěřovat. Šlo tedy o jediný způsob, jak zajistit platnost vydaných certifikátů ve většině zařízeních. Nicméně, za posledních několik let se kořenový certifikát Let's Encrypt již dostatečně rozšířil. Proto k se datu 11. 1. 2021 Let's Encrypt zcela osamostatní a začne vydávat certifikáty podepsané vlastním kořenovým certifikátem.

Jak to ovlivní můj web s Let's Encrypt certifikátem?

Prakticky to znamená, že Let's Encrypt certifikáty nebudou považovány za důvěryhodné staršími zařízeními, která jeho kořenový certifikát nemají. Jedná se především o přístroje s operačním systémem Android ve verzi 7.1.0 a starší. Ty dnes představují třetinu všech Android zařízení.

Jakým způsobem obsluhovat staré webové klienty?

Spoléhat na to, že klienti přejdou na prohlížeč, který má vlastní kořenové certifikáty a nevyužívá ty systémové (např. Firefox), se bohužel nedá. Skutečně dlouhodobým řešením je tedy nahradit Let's Encrypt komerčním certifikátem, nebo akceptovat, že se někteří uživatelé se svým zařízením nepřipojí.