หลังจาก Let's Encrypt ประกาศเลิกทำ cross-sign จาก IdenTrust แล้วใช้ ISRG Root X1 ของตัวเองเป็น root CA ที่ระบบปฎิบัติการของไคลเอนต์ต้องเชื่อถือ แต่ระบบปฎิบัติการเก่าโดยเฉพาะแอนดรอยด์ที่เก่ากว่าเวอร์ชั่น 7.1.1 จะไม่เชื่อถือใบรับรอง ตอนนี้ทาง Let's Encrypt ก็ออกแนวทางใหม่ออกมา ทำให้ใบรับรองหลังจากนี้สามารถใช้กับอุปกรณ์รุ่นเก่าได้ต่อไป แนวทางใหม่คือการนำ DST Root CA X3 ที่เคยใช้ทำ cross-sign กับ intermediate CA ของ Let's Encrypt (Let's Encrypt R3) ไปรับรอง ISRG Root X1 โดยมีอายุการรับรองยาว 3 ปี ทำให้เซิร์ฟเวอร์ที่ต้องรองรับอุปกรณ์เก่า สามารถวาง ISRG Root X1 ที่ได้รับการรับรองให้เป็นเหมือน intermediate CA อีกใบ ข้อเสียสำคัญคือขนาดใบรับรองแบบ full chain จะใหญ่ขึ้น สำหรับเซิร์ฟเวอร์ที่ไม่ต้องการรองรับไคลเอนต์เก่าสามารถขอ alternate chain ที่มี Let's Encrypt R3 เป็น intermediate CA ตัวเดียว หรือแม้กระทั่งย้ายไปใช้สายรับรองแบบ ECDSA ที่มีขนาดเล็กลงไปอีก ที่มา - Let's Encrypt Topics: Let's EncryptDigital CertificateSecurity