尊敬的读者，

随着2024年5月15日之后颁发的Let's Encrypt证书将受到影响的变更即将到来，我们特此通知您。我们联系您是因为我们发现您目前正在使用通过Universal SSL、Advanced Certificate Manager、Custom Certificates或SSL for SaaS颁发的Let's Encrypt证书。我们建议您熟悉Let's Encrypt的变更，并提前做出任何必要的调整。

Let's Encrypt通过两条链颁发证书：ISRG Root X1链和由IdenTrust的DST Root CA X3交叉签名的ISRG Root X1链。交叉签名链使得Let's Encrypt证书得到广泛信任，而纯链在过去3年中与各种设备兼容性增长，使得Android设备对ISRG Root X1的信任从66%增长到93.9%。

Let's Encrypt宣布交叉签名链将于2024年9月30日到期。因此，Cloudflare将于2024年5月15日停止从交叉签名CA链颁发证书。

交叉签名链的到期主要影响较旧的设备（例如Android 7.0及更早版本）和仅依赖交叉签名链且在其信任存储中缺少ISRG Root X1链的系统。这一变更可能导致这些设备上的证书验证失败，可能会给访问您网站的用户带来警告消息或访问问题。

对通过Universal SSL、Advanced Certificate Manager或SSL for SaaS颁发的证书的影响：

为了应对CA到期，2024年5月15日后，Cloudflare将不再从交叉签名链颁发证书。在5月15日之前颁发的证书将继续向客户提供交叉签名链。5月15日或之后颁发的证书将使用ISRG Root X1链。此外，此变更仅影响RSA证书，不影响通过Let's Encrypt颁发的ECDSA证书。ECDSA证书将保持今天的兼容性水平。

对通过Custom Certificates上传的证书的影响：

上传到Cloudflare的证书与Cloudflare认为最兼容和高效的证书链捆绑在一起。2024年5月15日后，所有上传到Cloudflare的Let's Encrypt证书将与ISRG Root X1链捆绑在一起，而不是交叉签名链。在5月15日之前上传的证书将继续使用交叉签名链直至该证书被更新。

2024年5月15日：Cloudflare将停止从交叉签名CA链颁发证书。此外，此日期之后上传到Let's Encrypt Custom Certificates将与ISRG X1链捆绑。

2024年9月30日：交叉签名CA链将到期。

为减少这一变更带来的影响，我们建议采取以下步骤：

更换CA：如果您预计客户会从旧设备向您的应用程序发送请求，并且预计这一变更会对他们产生影响，则建议使用不同的证书颁发机构或上传您选择的CA颁发的证书。

监控：一旦变更推出，请监控您支持渠道以获取与证书警告或访问问题相关的任何查询。

更新信任存储：如果您控制连接到应用程序的客户端，请升级信任存储以包含ISRG Root X1链，以防止影响。

如有任何疑问，请参考我们的开发者文档或博客文章。如果您是企业客户并有额外问题或疑虑，请联系您的账户团队。