Αλυσίδα της Εμπιστοσύνης

Τελευταία ενημέρωση:

ISRG Certificate Hierarchy Diagram, as of December 2020

Πιστοποιητικό Ca Root

Οι ρίζες μας διατηρούνται με ασφάλεια εκτός σύνδεσης. Εκδίδουμε πιστοποιητικά τελικής οντότητας στους συνδρομητές από τους διαμεσολαβητές στην επόμενη ενότητα. Για πρόσθετη συμβατότητα όπως υποβάλλουμε νέο Root X2 μας σε διάφορα προγράμματα ρίζας, έχουμε επίσης cross-signed από Root X1.

Έχουμε δημιουργήσει ιστότοπους για να δοκιμάσουμε τα πιστοποιητικά αλυσοπρίονο στις ενεργές ρίζες μας.

Ενδιάμεσα Πιστοποιητικά

Υπό κανονικές συνθήκες, τα πιστοποιητικά που εκδίδονται από το Let’s Encrypt θα προέρχονται από το “R3”, έναν διαμεσολαβητή RSA. Επί του παρόντος, η έκδοση από το “E1”, ένας ενδιάμεσος ECDSA, είναι δυνατή μόνο για τα κλειδιά συνδρομητών ECDSA για επιτρεπόμενους λογαριασμούς. Στο μέλλον, η έκδοση από το “E1” θα είναι διαθέσιμη για όλους.

Οι άλλοι μεσάζοντες μας (“R4” και “E2”) προορίζονται για την αποκατάσταση καταστροφών και θα χρησιμοποιηθούν μόνο σε περίπτωση που χάσουμε την ικανότητα να συζητήσουμε με τους κύριους μεσάζοντές μας. Δεν χρησιμοποιούμε πλέον τα ενδιάμεσα προϊόντα X1, X2, X3 και X4.

Η IdenTrust έχει υπογράψει τους διαμεσολαβητές μας RSA για πρόσθετη συμβατότητα.

Διασταυρούμενη Υπογραφή

Ενδιάμεση

Καθένας από τους μεσάζοντες μας αντιπροσωπεύει ένα ενιαίο ζεύγος κλειδιών δημόσιου και ιδιωτικού. Το ιδιωτικό κλειδί αυτού του ζεύγους δημιουργεί την υπογραφή για όλα τα πιστοποιητικά οντότητας (γνωστά και ως πιστοποιητικά φύλλων), i.. τα πιστοποιητικά που εκδίδουμε για χρήση στον διακομιστή σας.

Οι διαμεσολαβητές μας RSA υπογράφονται από ISRG Root X1. ISRG Root X1 είναι ευρέως αξιόπιστη σε αυτό το σημείο, αλλά οι διαμεσολαβητές μας RSA εξακολουθούν να υπογράφονται από το IdenTrust’s “DST Root CA X3” (τώρα ονομάζεται “TrustID X3 Root”) για πρόσθετη συμβατότητα πελάτη. Η ρίζα IdenTrust έχει περάσει πλέον και έτσι έχει καλύτερη συμβατότητα με παλαιότερες συσκευές και λειτουργικά συστήματα (π.χ. Windows XP, Android 7). Μπορείτε να κατεβάσετε το “TrustID X3 Root” από το IdenTrust (ή, εναλλακτικά, μπορείτε να κατεβάσετε ένα αντίγραφο από εμάς).

Έχοντας διασταυρούμενες υπογραφές σημαίνει ότι κάθε ένας από τους διαμεσολαβητές μας RSA έχει δύο πιστοποιητικά που αντιπροσωπεύουν το ίδιο κλειδί υπογραφής. Το ένα υπογράφεται από DST Root CA X3 και το άλλο υπογράφεται από ISRG Root X1. Ο ευκολότερος τρόπος για να διακρίνουμε τα δύο είναι κοιτάζοντας το πεδίο Εκδότη τους.

Κατά τη ρύθμιση παραμέτρων ενός διακομιστή ιστού, ο πάροχος του διακομιστή ρυθμίζει όχι μόνο το πιστοποιητικό οντότητας τέλους, αλλά και μια λίστα ενδιάμεσων που θα βοηθήσουν τους περιηγητές να επαληθεύσουν ότι το πιστοποιητικό οντότητας έχει μια αλυσίδα εμπιστοσύνης που οδηγεί σε ένα αξιόπιστο πιστοποιητικό ρίζας. Σχεδόν όλοι οι φορείς εκμετάλλευσης διακομιστών θα επιλέξουν να εξυπηρετήσουν μια αλυσίδα που περιλαμβάνει το ενδιάμεσο πιστοποιητικό με θέμα “R3” και Εκδότη “ISRG Root X1”. Το προτεινόμενο λογισμικό Let’s Encrypt client, Certbot, θα κάνει αυτήν τη ρύθμιση απρόσκοπτα.

Roots

Παρόμοια με τους μεσάζοντες, τα πιστοποιητικά ρίζας μπορούν να υπογράψουν, συχνά για να αυξηθεί η υπολογιστικότητα του πελάτη. Η ρίζα ECDSA μας, ISRG Root X2 δημιουργήθηκε το φθινόπωρο του 2020 και είναι το πιστοποιητικό ρίζας για την ιεραρχία ECDSA. Αντιπροσωπεύεται από δύο πιστοποιητικά: ένα που είναι αυτο-υπογεγραμμένο και ένα που υπογράφεται από ISRG Root X1.

Όλα τα πιστοποιητικά υπογεγραμμένα από το ενδιάμεσο ECDSA “E1” θα έρχονται με μια αλυσίδα που περιλαμβάνει ένα ενδιάμεσο πιστοποιητικό του οποίου το θέμα είναι “ISRG Root X2” και του οποίου ο εκδότης είναι “ISRG Root X1”. Σχεδόν όλοι οι φορείς εκμετάλλευσης διακομιστών θα επιλέξουν να εξυπηρετήσουν αυτή την αλυσίδα καθώς προσφέρει την πιο compatability έως ότου το ISRG Root X2 είναι ευρέως αξιόπιστο.

Πιστοποιητικό Υπογραφής OCSP

Το παρόν πιστοποιητικό χρησιμοποιείται για την υπογραφή απαντήσεων OCSP για τους ενδιάμεσους φορείς του Let’s Encrypt Authority, ώστε να μην χρειαστεί να φέρουμε το βασικό κλειδί online για να υπογράψουμε αυτές τις απαντήσεις. Ένα αντίγραφο αυτού του πιστοποιητικού περιλαμβάνεται αυτόματα σε αυτές τις απαντήσεις OCSP, έτσι ώστε οι συνδρομητές δεν χρειάζεται να κάνουν τίποτα με αυτό. Περιλαμβάνεται εδώ μόνο για ενημερωτικούς σκοπούς.

Οι νεότεροι μεσάζοντες μας δεν έχουν διευθύνσεις URL OCSP (οι πληροφορίες ανάκλησής τους είναι αντί να εξυπηρετούνται μέσω CRL), so we have not issued an OCSP Signing Cert from ISRG Root X2.

Certificate Transparency

Είμαστε αφοσιωμένοι στη διαφάνεια των λειτουργιών μας και στα πιστοποιητικά που εκδίδουμε. Υποβάλλουμε όλα τα πιστοποιητικά στην Διαφάνεια Πιστοποιητικού καταγράφει καθώς τα εκδίδουμε. Μπορείτε να δείτε όλα τα εκδοθέντα Let’s Encrypt certificates μέσω αυτών των συνδέσμων: