Denne side beskriver alle de nuværende og relevante historiske certificeringsmyndigheder, som drives af Let’s Encrypt. Bemærk, at en Certifikatmyndighed - CA - mest korrekt opfattes som en nøgle og et navn: enhver given CA kan være repræsenteret af flere certifikater, som alle indeholder den samme Emne og Offentlige nøgle Information. I sådanne tilfælde har vi givet nærmere oplysninger om alle de certifikater, der repræsenterer CA’en.

Root CAs

Vores root certifikater holdes sikkert offline. Vi udsteder end-entity certifikater til abonnenter fra intermediate certifikater som beskrevet i næste afsnit. Alle root-certifikat Emner har et landefelt på C = US.

Bemærk, at Root CAs ikke har udløbsdatoer på helt samme måde som andre certifikater. Selv om deres selvsignerede certifikater indeholder en notAfter dato, Root Programs and Trust Stores kan vælge at have tillid til en Root CA efter denne dato, eller afslutte tilliden inden denne dato. Som sådan er de end-of-validity datoer angivet nedenfor omtrentlige, baseret på aktuelle Root Program politikker.

• ISRG Root X1
  • Emne: O = Research Group, Internet Security Group, CN = ISRG Root X1
  • Nøgletype: RSA 4096
  • Gyldighed: indtil 2030-06-04 (genereret 2015-06-04)
  • CA-oplysninger: crt.sh, udstedte certifikater
  • Certifikatoplysninger (selvsigneret): crt.sh, der, pem, txt
  • Certifikatdetaljer (krydssigneret af DST Root CA X3): crt.sh, der, pem, txt (pensioneret)
  • Test websteder: gyldigt, tilbagekaldt, udløbet
• ISRG Root X2
  • Emne: O = Research Group, Internet Security Group, CN = ISRG Root X2
  • Nøgletype: ECDSA P-384
  • Gyldighed: indtil 2035-09-04 (genereret 2020-09-04)
  • CA-detaljer: crt.sh, udstedte certifikater
  • Certifikatoplysninger (selvsigneret): crt.sh, der, pem, txt
  • Certifikatoplysninger (krydsunderskrevet af ISRG Root X1): crt.sh, der, pem, txt
  • Test websteder: gyldigt, tilbagekaldt, udløbet

Se Certificate Compatibility for yderligere information om kompatibiliteten af vores rodcertifikater med forskellige enheder og trust stores.

Underordnede (CA’er)

Vi vedligeholder i øjeblikket fire mellemled i aktiv rotation. Abonnementscertifikater med en offentlig ECDSA-nøgle vil blive udstedt fra en af ECDSA-underordnet CA. Tilsvarende udstedes Abonnementscertifikater med en offentlig RSA-nøgle fra en af RSA-underordnet CA.

Alle underordnede certifikatemner har et landefelt på C = US.

• Let’s Encrypt E5
  • Emne: O = Let's Encrypt, CN = E5
  • Nøgletype: ECDSA P-384
  • Gyldighed: indtil 2027-03-12
  • CA-detaljer: crt.sh, udstedte certifikater
  • Certifikatdetaljer (krydsunderskrevet af ISRG Root X2): der, pem,txt
  • Certifikatdetaljer (krydsunderskrevet af ISRG Root X1): der, pem, txt
• Let’s Encrypt E6
  • Emne: O = Let's Encrypt, CN = E6
  • Nøgletype: ECDSA P-384
  • Gyldighed: indtil 2027-03-12
  • CA-detaljer: crt.sh, udstedte certifikater
  • Certifikatdetaljer (underskrevet af ISRG Root X2): der, pem, txt
  • Certifikatdetaljer (Krydsunderskrevet af ISRG Root X1): der, pem, txt
• Let’s Encrypt R10
  • Emne: O = Let's Encrypt, CN = R10
  • Nøgletype: RSA 2048
  • Gyldighed: indtil 2027-03-12
  • CA detaljer: crt.sh, udstedte certifikater
  • Certifikatdetaljer (underskrevet af ISRG Root X1): der, pem, txt
• Let’s Encrypt R11
  • Emne: O = Let's Encrypt, CN = R11
  • Nøgletype: RSA 2048
  • Gyldighed: indtil 2027-03-12
  • CA detaljer: crt.sh, udstedte certifikater
  • Certifikatdetaljer (underskrevet af ISRG Root X1): der, pem, txt

Klik nedenfor for oplysninger om yderligere under ordnede Ca’er, som ikke er en del af det aktive udstedelseshierarki:

Certifikat kæder

Når en ACME-klient henter et nyligt udstedt certifikat fra Let’s Encrypt ACME-API, at certifikatet kommer som en del af en “certifikat kæde”, der også omfatter en eller flere underordnede CA’er. Som regel består denne kæde af kun den endelige enhed certifikat og et underordnet, men den kan indeholde yderligere mellemled. Tanken er, at ved at præsentere hele denne kæde af certifikater til en hjemmeside besøgende browser, browseren vil være i stand til at validere signaturerne hele vejen op til en rod, browseren stoler på uden at skulle downloade yderligere underordnede certifikater.

Nogle gange er der mere end en gyldig kæde for et givet certifikat: for eksempel, hvis et underordnet certifikat er blevet krydssigneret, så enten et af disse to certifikater kunne være den anden post, “kæde op til” en af to forskellige rod-certifikater. I dette tilfælde kan forskellige webstedsoperatører ønsker at vælge forskellige kæder, afhængigt af de egenskaber, de bekymrer sig mest om.

Abonnentcertifikater med offentlige RSA-nøgler udstedes fra vores RSA-underordnede CA, som kun er udstedt fra vores RSA-rod ISRG Root X1 (i. De er ikke krydsunderskrevet). Derfor har alle RSA-abonnentcertifikater kun en enkelt kæde til rådighed:

Abonnentcertifikater med offentlige ECDSA-nøgler udstedes fra vores ECDSA-underordnede CA, som udstedes begge (i.. krydssigneres) fra vores RSA-rod ISRG Root X1 og vores ECDSA-rod ISRG Root X2. Derfor tilbyder vi to kæder til disse certifikater:

Den første kæde, op til ISRG Root X1, giver den største kompatibilitet, fordi dette rodcertifikat er inkluderet i de fleste certifikat samlinger. Den anden kæde, op til ISRG Root X2, bruger færre bytes af netværkets båndbredde i hver TLS-håndtryk. Vi leverer den første kæde som standard, for at sikre den bredeste kompatibilitet. Abonnenter, der ønsker at prioritere størrelse frem for kompatibilitet, kan henvise til deres ACME-klients dokumentation for instruktioner om, hvordan du beder om alternativ kæde (f. eks. certbot’s --preferred-chain flag).