Diese FAQ ist in folgende Sektionen unterteilt:
Let’s Encrypt ist eine globale Zertifizierungsstelle (CA). Wir lassen Menschen und Organisationen weltweit SSL/TLS Zertifikate ausstellen, erneuern und verwalten. Unsere Zertifikate können benutzt werden, um auf Webseiten sichere HTTPS Verbindungen zu aktivieren.
Let’s Encrypt bietet Domain-Validierungs (DV) Zertifikate. Wir bieten keine Organisationsvalidierung (OV) oder Erweiterte Validierung (EV), weil wir für diese Typen die Ausstellung nicht automatisieren können.
Um mit Let’s Encrypt zu beginnen, besuchen Sie bitte Erste Schritte Seite.
Wir erheben keine Gebühr für unsere Zertifikate. Let’s Encrypt ist gemeinnützig, unsere Mission ist die Erstellung eines sicheren Webs, welches die Privatsphäre akzeptiert durch weite Verbreitung von HTTPS. Unsere Dienste sind frei und einfach zu benutzen, sodass jede Webseite HTTPS bereitstellen kann.
Wir brauchen Unterstützung von grosszügigen Sponsoren, Stipendiaten und Einzelpersonen, um unsere Dienste frei rund um den Globus bereitzustellen. Wenn Sie uns unterstützen möchten, überlegen Sie bitte, ob Sie spenden oder Sponsor werden wollen.
In einigen Fällen wird Integratoren (z.B. Hosting-Provider) eine geringe Gebühr für Verwaltungsaufwand berechnet.
Let’s Encrypt läuft mit einem kleinen Team und hängt stark von Automatisierung ab, um Kosten zu senken. Aus diesem Grunde sind wir nicht in der Lage, direkten Support für unsere Abonnenten anzubieten. Wir haben dafür einige grossartige Optionen für Unterstützung:
Hier ist ein Video, was wir mögen über die Leistung der grossen Community.
Wir empfehlen das Melden solcher Seiten bei Google Safe Browsing und dem Microsoft Smart Screen Programm, welche die Benutzer mehr schützen kann. Hier sind die Reporting-URLs:
Wenn Sie mehr über Regeln und Gründe lesen wollen, so können Sie das hier (in englisch):
https://letsencrypt.org/2015/10/29/phishing-and-malware.html
Für die meisten Browser und Betriebssysteme, ja. Schauen Sie in die Kompatibilitätsliste für mehr Details.
Let’s Encrypt Zertifikate sind Standard Domain Validation Zertifikate, so können Sie diese für alle Server, die einen Domainnamen benutzen, verwenden: Webserver, Mailserver, FTP-Server und viele andere.
Email-Verschlüsselung und Code-Signierung sind unterschiedliche Typen von Zertifikaten, die Let’s Encrypt nicht ausstellt.
Nein. Niemals.
Der private Schlüssel wird immer auf Ihrem eigenen Server generiert und verwaltet, nicht bei der Let’s Encrypt Zertifikat Verwaltung.
Unsere Zertifikate sind 90 Tage gültig. Sie können hier darüber lesen warum.
Es gibt keine Möglichkeit, das zu ändern, es gibt keine Ausnahmen. Wir empfehlen die automatische Erneuerung Ihrer Zertifikate alle 60 Tage.
Wir haben keine Pläne für Ausstellung von OV oder EV Zertifikaten.
Ja, dieselben Zertifikate können unterschiedliche Namen mit Benutzung des Subject Alternative Name (SAN) Mechanismus verwenden.
Ja. Die Vergabe von Wildcards muss über ACMEv2 unter Verwendung der DNS-01 Herausforderung erfolgen. Schauen Sie diese Nachricht für mehr technische Details.
Es ist eine grosse Anzahl von ACME Clients verfügbar. Die Wahrscheinlichkeit ist gross, dass etwas auf Ihrem Betriebssystem gut funktioniert. Wir empfehlen, mit dem Certbot zu starten.
Ja, aber nicht alle Clients unterstützen diese Funktion. Certbot tut das.
Das ist normal und wird vorausgesehen. Während des -Zertifikatausstellungsverfahrensprüft Encrypt die Kontrolle Ihrer Domäne aus mehreren Netzwerkperspektiven. Nach erfolgreicher Validierung wird Ihr Zertifikat in zahlreiche Zertifikattransparenz (CT) Protokolle eingereicht. Siehe hier für weitere Details, warum dies notwendig ist. Kurz nachdem das Zertifikat bei CT eingereicht wurde, können automatisierte CT-Crawling-Bots Ihre Domain entdecken, versuchen Sie darauf zuzugreifen und generieren Sie weiteren Traffic in Ihren Webserver-Logs.
Wir veröffentlichen keine Liste von IP-Adressen, die wir bei der Validierung benutzen, weil diese ändern sich zu jeder Zeit. Beachten Sie, dass wir jetzt von mehreren IP-Adressen validieren.
Wenn Sie den Austausch für eine Domain erfolgreich abgeschlossen haben, wird die resultierende Autorisierung zwischengespeichert, damit Ihr Konto später erneut verwendet werden kann. Die zwischengespeicherten Berechtigungen sind 30 Tage ab dem Zeitpunkt der Validierung gültig. Wenn das angeforderte Zertifikat alle erforderlichen Berechtigungen zwischengespeichert hat, wird die Validierung erst nach Ablauf der relevanten zwischengespeicherten Berechtigungen erneut durchgeführt.
Wir bitten die ACME-Clients, routinemäßige Erneuerungen zu zufälligen Zeiten vorzunehmen, um Spitzen im Datenverkehr zu bestimmten Tageszeiten zu vermeiden, z. B. genau um Mitternacht UTC oder in der ersten Sekunde jeder Stunde oder Minute. Wenn der Dienst zu stark ausgelastet ist, werden die Clients aufgefordert, es später noch einmal zu versuchen. Daher kann eine zufällige Festlegung der Verlängerungszeiten dazu beitragen, unnötige Wiederholungen zu vermeiden.
Der langjährige Sicherheitsforscher und Praktiker Ivan Ristić hat einen Konfigurationsleitfaden veröffentlicht, der nützliche Informationen darüber enthält, was Sie bei der Einrichtung Ihrer TLS-Konfiguration beachten sollten.
Für umfangreichere Hintergründe und mehr Details empfehlen wir Bulletproof TLS and PKI, ebenfalls geschrieben von Ristić.