Kette des Vertrauens

Root Zertifikate

Unsere Root Zertifikate werden sicher offline gehalten. Im nächsten Abschnitt stellen wir Endteilnehmerzertifikate aus den Zwischenzertifikaten für Abonnenten aus.

Wir haben eine Webseite zum Testen der Zertifikatketten zu unseren Root Zertifikaten erstellt.

Zwischenzertifikate (Intermediate Certificates)

IdenTrust hat unsere Zwischenzertifikate quersigniert. Das erlaubt die Aktzeptanz all unserer Endzertifkate bei allen Browsern, bei denen wir unser Root Zertifikat propagieren.

Unter normalen Umständen kommen Zertifikate, die von Let’s Encrypt ausgestellt worden, von “Let’s Encrypt Authority X3”. Das andere Zwischenzerttifikat, “Let’s Encrypt Authority X4”, ist reserviert für Notfallwiederherstellung und wird nur benutzt, wenn wir die Kontrolle über “Let’s Encrypt Authority X3” verloren haben. Die X1 und X2 Zwischenzertfikate waren unsere erste Generation von Zwischenzertifikaten. Wir haben sie mit neuen Zwischenzertifikaten ersetzt, die mehr kompatibel mit Windows XP waren.

Quersignierung

Unser Zwischenzertifikat “Let’s Encrypt Authority X3” repräsentiert ein einfaches öffentlich/privates Schlüsselpaar. Der private Schlüssel generiert die Signatur für alle Endzertifikate (auch bekannt als Leaf Zertifikate), z.B. die Zertifikate, die wir für Ihren Server ausstellen.

Unser Zwischenzertifikat ist signiert von ISRG Root X1. Jedoch, da wir eine recht neue Zertifizierungsstelle sind, ist ISRG Root X1 in den meisten Browsern nicht vertrauenswürdig. Um eine breitere Sicherheit zu erreichen, ist unser Zwischenzertifikat bei einer anderen Zertifizierungsstelle quersigniert, IdenTrust, dessen Root Zertifikat in allen Browsern vertrauenswürdig ist. IdenTrust hat unser Zwischenzertifikat quersigniert mit “DST Root CA X3” (jetzt benannt “TrustID X3 Root”). “TrustID X3 Root” von identrust.com herunterladen (oder Sie können alternativ eine Kopie hier herunterladen: .pem, .p7b).

Das bedeutet, dass zwei Zertifikate verfügbar sind, die unsere Zwischenzertifikate repräsentieren. Eines ist von DST Root CA X3 signiert und das andere von ISRG Root X1. Der einfachste Weg, die zwei zu unterscheiden, ist in das Issuer Feld zu schauen.

Wenn ein Webserver konfiguriert wird, konfiguriert der Serveradministrator nicht nur das Endkundenzertifikat, sondern auch eine Liste von Zwischenzertifikaten, um es Browsern eine Verifizierung der Kette vom Endkundenzertifikat bis zum Root Zertifikat zu ermöglichen. Fast alle Serverbetreiber wählen eine Kette incl. Zwischenzertifikat mit Subjekt “Let’s Encrypt Authority X3” und Aussteller “DST Root CA X3.” Die empfohlene Let’s Encrypt software, Certbot, wird die Konfiguration nahtlos erstellen,

Das folgende Bild erklärt die Beziehungen zwischen unseren Zertifikaten:

ISRG Key relationship diagram

OCSP Signiertes Zertifikat

Dieses Zertifikat wird benutzt zum Signieren von OCSP Anfragen für die Let’s Encrypt Authority Zwischenzertifikate, sodass wir den Root Schlüssel nicht zum Signieren online bringen müssen. Eine Kopie dieses Zertifikats ist automatisch in der OCSP Anfrage inkludiert, sodass Abonnenten nichts weiter tun müssen. Für informelle Zwecke ist es hier inkludiert.

Zertifikattransparenz

Wir entschieden uns für Transparenz in unserem Betrieb und in den Zertifikaten, die wir ausgestellt haben. Wir haben alle Zertifikate, die wir ausgestellt haben, zu Certificate Transparency logs hochgeladen. Sie können sich alle Zertifikate, die von Let’s Encrypt ausgestellt sind, mit diesen Links ansehen:

Mehr Informationen

Die privaten Schlüssel für die ISRG Root CA und die Let’s Encrypt Zwischenzertifikat CA sind auf Hardware Sicherheitsmodulen (HSM) gespeichert, welche einen hohen Grad an Schutz gegen Diebstahl der Schlüssel bieten.

Alle ISRG Schlüssel sind derzeit RSA Schlüssel. Wir planen die Umstellung auf ECDSA Schlüssels.