שו״ת זה מפוצל לסעיפים הבאים:
Let’s Encrypt היא רשות אישורים גלובלית (CA). אנו מאפשרים לאנשים ולארגונים מסביב לעולם, לקבל, לחדש ולנהל אישורי SSL/TLS. אתרים יכולים להשתמש באישורים שלנו כדי להפעיל חיבורי HTTPS מאובטחים.
Let’s Encrypt מציעה אישורי תיקוף שם תחום (DV - Domain Validation). אנו לא מציעים תיקוף ארגון (OV - Organization Validation) או תיקוף מורחב (EV - Extended Validation) בעיקר כיוון שאין לנו אפשרות ליצור אוטומציה להנפקה של אישורים מהסוגים האלו.
כדי להתחיל להשתמש ב־ Let’s Encrypt, נא לבקר בעמוד איך מתחילים שלנו.
איננו גובים עמלה על האישורים שלנו. Let’s Encrypt אינה למטרות רווח, המשימה שלנו היא ליצור רשת אינטרנט מאובטחת ומכבדת פרטיות יותר על ידי קידום אימוץ HTTPS על ידי הקהל הרחב. השירותים שלנו הם בחינם וקלים לשימוש כדי שכל אתר יוכל להטמיע HTTPS.
אנו דורשים תרומות מתורמים נדיבים, נותני מענקים ואנשים פרטיים כדי לספק את השירותים שלנו בחינם בכל רחבי העולם. אם מעניין אותך לתמוך בנו, נא לשקול לתרום או לתת חסות.
בחלק מהמקרים, גופים שמשלבים את המוצרים שלנו בשלהם (כמו למשל, ספקי אחסון) ייגבו עמלה סמלית שמשקפת את העלויות התפעוליות והניהוליות שהם נוטלים כדי לספק אישורים של Let’s Encrypt.
Let’s Encrypt מופעלת על ידי קבוצה קטנה ונסמכת על אוטומציה כדי לשמור על עלויות נמוכות. כיוון שזה המצב, אין לנו אפשרות להציע תמיכה ישירות למנויים שלנו. עם זאת, יש לנו מגוון אפשרויות תמיכה נהדרות:
להלן סרטון שנושא חן בעינינו על הכוח שבתמיכה קהילתית מצוינת.
אנו ממליצים לדווח על אתרים כאלה ל־Google Safe Browsing (גלישה בטוחה בחסות Google) ולתכנית SmartScreen מבית Microsoft שיכולות להגן על משתמשים בצורה יעילה יותר. הנה הכתובות לדיווח:
אם מעניין אותך לקרוא עוד על מסמכי המדיניות שלנו ומה עומד מאחוריהם, ניתן לעשות זאת כאן:
https://letsencrypt.org/2015/10/29/phishing-and-malware.html
עבור רוב הדפדפנים ומערכות ההפעלה, כן. ניתן לעיין ברשימת התאימות למידע נוסף.
האישורים של Let’s Encrypt הם אישורי תיקוף שם תחום תקניים, לכן ניתן להשתמש בהם בכל שרת שמשתמש בשם תחום, כגון שרתי אינטרנט, שרתי דוא״ל, שרתי FTP ועוד רבים וטובים.
הצפנת דוא״ל וחתימת קוד דורשים סוגים אחרים של אישורים ש־Let’s Encrypt אינה מנפיקה.
לא. אף פעם לא.
המפתח הפרטי תמיד נוצר ומנוהל על השרתים שלך, לא על ידי רשות האישורים Let’s Encrypt.
האישורים שלנו תקפים למשך 90 יום. הסיבה לכך מופיעה כאן.
אין דרך לשנות זאת, אין יוצאים מן הכלל. אנו ממליצים לחדש את האישורים שלך אוטומטית כל 60 יום.
אין לנו תכניות להנפיק אישורי OV או EV.
כאן, אותו האישור יכול להכיל מספר שמות שונים באמצעות מנגנון SAN (שם חלופי לנושא - Subject Alternative Name).
כן. הנפקת אישורים כוללניים חייבת להתבצע דרך ACMEv2 באמצעות האתגר DNS-01. ברשומה הזאת יש קצת יותר פירוט טכני.
יש מספר גדול של לקוחות ACME זמינים. סביר להניח שלפחות אחד מהם עובד נכון על מערכת ההפעלה שלך. אנו ממליצים להתחיל עם Certbot.
כן, אבל לא כל תכניות צד הלקוח תומכות בתכונה הזאת. Certbot תומך.
זה תקין לחלוטין ואף צפוי. במשך תהליך הנפקת האישורים, Let’s Encrypt יוודא שליטה בשם התחום שלך ממגוון היבטי תקשורת רשת. לאחר אימות מוצלח, האישור שלך יוגש למספר יומני שקיפות אישורים (CT). כאן מופיע פירוט נוסף מדוע זה נחוץ. זמן קצר לאחר הגשת האישור לשקיפות האישורים, בוטים שסורקים את שקיפות האישורים יוכלו לגלות את שם התחום שלך ולגשת אליו ולייצר תעבורה נוספת ביומני האתר שלך.
איננו מפרסמים את רשימת כתובות ה־IP בהן אנו משתמשים למטרות תיקוף וכתובות ה־IP האלה עשויות להשתנות בכל עת. רצוי לשים לב שכיום אנו מאמתים דרך מגוון כתובות IP.
לאחר השלמת האתגרים לשם תחום, ההרשאה שמתקבלת נשמרת במטמון של החשבון שלך לשימוש חוזר בעתיד. הרשאות נשמרות למשך 30 יום מרגע התיקוף. אם לאישור שביקשת יש את כל ההרשאות השמורות הנחוצות אז התיקוף לא יתרחש שוב עד לתפוגת תוקף ההרשאות הנוכחיות.
אנו מבקשים שלקוחות ACME יבצעו חידושים שגרתיים במועדים אקראיים כדי להימנע מזינוקים קצרי מועד בזמנים קבועים ביום כמו למשל בדיוק בחצות לפי השעון האוניברסלי המתואם או השנייה הראשונה של כל שעה או דקה. כאשר השירות עמוס מדי, הלקוחות יתבקשו לנסות שוב מאוחר יותר, כך שפיזור אקראי של זמני החידוש יכול לסייע במניעת ניסיונות מיותרים מחדש.
חוקר ומיישם אבטחת המידע, איוון ריסטיץ׳, פרסם מדריך הגדרות שמספק מידע חיוני על מה כדאי להתמקד בעת הגדרת ה־TLS שלך.
לרקע נרחב יותר ופירוט עמוק יותר, אנו ממליצים על TLS ו־PKI חסינים לגמרי, שגם כן נכתב על ידי ריסטיץ׳.