我们会定期更新我们网络服务的 SSL 证书。在最近的证书更新过程中,我们发现一些旧版/EOL 设备(例如运行 Android KitKat 的设备)无法访问我们的服务,因为这些设备不信任新证书。
因此,我们需要提前知道:有多少设备会接受此证书?换句话说,有多少比例的设备在其受信任的 CA 列表中至少有一个来自该证书链的 CA?
我想要的输出可能是“99%的设备信任具有 SHA-256 指纹的证书43 48 A0 ...”,或者“该证书foo.crt受到 Android 4.4+ 信任”。
我们发现Mozilla 天文台给出了给定证书的“兼容客户端”列表。但这似乎并不准确,因为它仅“将每个服务器密码套件与客户端支持的密码套件进行比较”,而不是咨询客户端支持的根证书。
您能否推荐一种提前确定该支撑位的方法?