שרשרת אמון

עדכון אחרון:

אישורים עליונים

האישורים העליונים שלנו נשמרים באופן מאובטח ללא חיבור לאינטרנט. אנו מנפיקים אישורי יישויות קצה למנויים מהמתווכים בסעיף הבא.

הקמנו אתרים כדי לבדוק את שרשור האישורים לעליונים שלנו.

אישורים מתווכים

במצב רגיל, אישורים שהונפקו על ידי Let’s Encrypt יגיעו מ־„Let’s Encrypt Authority X3”. המתווך השני, „Let’s Encrypt Authority X4”, שמור להתאוששות ממקרי אסון ויעשה בו שימוש במקרה שתיבצר מאתנו האפשרות להנפיק בעזרת „Let’s Encrypt Authority X3”. איננו משתמשים במתווכים X1 ו־X2 עוד.

IdenTrust חתמו באופן צולב את אישורי התווך שלנו לשיפור התאימות.

חתימה צולבת

המתווך שלנו „Let’s Encrypt Authority X3” מייצג צמד מפתחות ציבורי/פרטי בודד. המפתח הפרטי של הצמד הזה מייצר חתימה לכל אישורי יישויות הקצה (מוכר גם בתור אישורי עלה), כמו למשל האישורים שאני מנפיקים לשימוש בשרת שלך.

אישור התווך שלנו חתום על ידי ISRG Root X1. העליון של ISRG נחשב מהימן באופן גורף בשלב זה, אך המתווך שלנו נחתם באופן צולב על ידי „DST Root CA X3” מבית IdenTrust (כעת שמו „TrustID X3 Root”) לתאימות לקוח משופרת. העליון של IdenTrust נמצא אתנו זמן רב יותר ולכן נתמך טוב יותר במכשירים ובמערכות הפעלה ישנים (למשל: Windows XP). ניתן להוריד את „TrustID X3 Root” מ־identrust.com (או, לחלופין, ניתן להוריד עותק מכאן: ‎.pem,‏ ‎.p7b).

משמעות החתימה הצולבת היא שיש שתי סדרות של אישורים מתווכים זמינים, שתיהן מייצגות את המתווך שלנו. האחת חתומה על ידי DST Root CA X3, והשנייה חתומה על ידי ISRG Root X1. הדרך הקלה ביותר להבדיל בין השתיים היא על ידי התבוננות בשדה המנפיק שלהן.

בעת הגדרת שרת אינטרנט, מפעיל השרת מגדיל לא רק את אישור יישות הקצה, אלא גם את רשימת אישורי התווך כדי לסייע לדפדפנים לאמת שלאישור יישות הקצה יש שרשרת מהימנות שמובילה לאישור עליון מהימן. כמעט כל מפעילי השרתים יבחרו להגיש שרשרת שכוללת את אישור התווך עם הנושא „Let’s Encrypt Authority X3” ועם המנפיק „DST Root CA X3”. רכיב התכנה המומלץ של Let’s Encrypt,‏ Certbot, יהפוך את ההגדרה הזאת לבלתי מורגשת.

התמונה הבאה מסבירה את הקשרים בין האישורים שלנו בצורה חזותית:

תרשים יחסים בין מפתחות ISRG

אישור חתימה OCSP

אישור זה משמש לחתימת תגובות OCSP עבור המתווכים של הרשות Let’s Encrypt, כדי שלא יהיה עלינו להעלות את המפתח העליון לרשת כדי לחתום על התגובות האלו. עותק של האישור הזה נכלל אוטומטית בתגובות OCSP אלו, לכן מנויים לא צריכים לעשות אתו דבר. הוא כלול כאן לצורכי הבנה בלבד.

שקיפות אישורים

אנחנו מחויבים לשקיפות בפעילותנו ובאישורים שאנו מנפיקים. אנו מגישים את כל האישורים ליומני שקיפות האישורים בעת הנפקתם. ניתן לצפות בכל האישורים שהונפקו על ידי Let’s Encrypt דרך הקישורים שלהלן:

מידע נוסף

המפתחות הפרטיים עבור רשות האישורים העליונה של ISRG ורשויות האישורים המתווכות של Let’s Encrypt מאוחסות על מודולי אבטחה חומרתיים (HSMs), שמספקים דרגה גבוהה של הגנה נגד גניבת המפתחות.

כל מפתחות ה־ISRG הם מפתחות RSA נכון לעכשיו. אנחנו מתכננים לייצר מפתחות ECDSA.