Let's Encrypt將於2024年終止支援跨簽章

Let's Encrypt考量到他們的根憑證已廣受信任，而跨簽章（Cross-Signing）將在2024年9月30日過期，因此屆時Let’s Encrypt將不再提供跨簽章擴展支援，官方提醒行動裝置使用者、網站營運商與ACME客戶端作者，應該提早採取必要措施。

Let's Encrypt一開始之所以要引入跨簽章中介憑證，是因為該組織的服務甫推出，需要確保憑證受到廣泛信任，因此使用由IdenTrust DST Root CA X3跨簽署中介憑證。即便Let's Encrypt的ISRG Root X1憑證仍不受信任，但以中介憑證頒發的憑證都將會受到信任。

跨簽章是一種公開金鑰基礎設施中使用的技術，能夠增加憑證的可信度，在憑證頒發機構剛創建的時候，其根憑證可能尚未受廣泛作業系統和瀏覽器信任，因此憑證認證機構便需要將其憑證，和由另一個已受廣泛信任的憑證認證機構，所頒布的憑證進行跨簽章，使得新憑證認證機構的憑證能夠被信任。

但隨著時間的推移，ISRG Root X1憑證已經獲得廣泛信任，Let's Encrypt開始評估跨簽章退場的可能性。在2021年DST Root CA X3即將到期的時候，雖然當時所有新的瀏覽器都已經信任Root X1憑證，但還有超過三分之一的Android裝置執行舊版作業系統，淘汰Root X1憑證會大規模破壞使用Let's Encrypt憑證的網站，因此Let's Encrypt在當時又再次獲取跨簽章，讓舊的Android裝置能夠繼續信任Let's Encrypt的憑證。

不過，2024年9月30日這個跨簽章又要到期了，而確定的是，這次Let's Encrypt將不會繼續支援跨簽章，因為現在信任ISRG Root X1的Android裝置百分比，已經從66％上升到93.9％，到了明年這個數字將會再增加，此外，Android 14還能夠在不更新作業系統的情況更新信任儲存。移除跨簽章的好處，還包括使TLS交握所發送的憑證位元組減少40％，並且大幅減低Let's Encrypt營運成本。

因此Let's Encrypt決定在2024年2月8日預設停止提供跨簽章，6月6日就會完全停止提供跨簽章鏈，9月30日則是跨簽章憑證正式到期的日子。Android 7.0或更早版本的用戶，可以安裝Firefox Mobile繼續使用Let's Encrypt憑證網站，同時網站營運者也應該觀察2024年第二與第三季的網站統計數字，如有Android存取量突然下降的現象，可建議使用者採取相對應措施，另外，ACME客戶端作者也要確保程式能正確下載和安裝憑證鏈。