Rantai Kepercayaan

Pembaruan terakhir:

ISRG Certificate Hierarchy Diagram, as of December 2020

Sertifikat Root

Sertifikat root kami disimpan dengan aman secara luring. Kami menerbitkan sertifikat entitas akhir untuk pelanggan dari perantara di bagian berikutnya. Sebagai tambahan kompatibilitas karena kami mendaftarkan Root X2 kami yang baru ke berbagai root programs, kami juga melakukan cross-signed dari Root X1.

Kami telah mempersiapkan website untuk pengujian rantai sertifikat menuju root aktif kami.

Sertifikat Perantara

Pada kondisi umumnya, sertifikat-sertifikat yang diterbitkan oleh Let’s Encrypt akan berasal dari “R3”, yaitu suatu perantara RSA. Saat ini, penerbitan sertifikat dari “E1”, suatu perantara ECDSA, hanya dapat dilakukan oleh pelanggan kunci ECDSA yang telah terdaftar dan diijinkan. Kedepannya, penerbitan dari “E1” akan tersedia bagi semua orang.

Sertifikat perantara kami yang lain (“R4” dan “E2”) dipersiapkan sebagai pemulihan kebencanaan dan hanya akan digunkan jika dan hanya jika kami kehilangan kemampuan untuk menerbitkan sertifikat perantara utama kami. Kami tidak lagi menggunakan perantara X1, X2, X3 dan X4.

IdenTrust telah menanda-tangani lintas-silang sertifikat perantara kami untuk kompatibilitas tambahan.

Tanda-tangan Silang

Sertifikat Perantara

Pada tiap-tiap sertifikat perantara kami merepresentasikan satu pasang public key dan private key. Kunci privat dari pasangan tersebut menghasilkan tanda tangan untuk semua sertifikat entitas akhir (juga dikenal sebagai leaf certificates), seperti sertifikat yang kami terbitkan untuk Anda gunakan.

Sertifikat perantara RSA kami ditandatangani oleh ISRG Root X1. Pada saat ini, ISRG Root X1 telah dipercaya secara luas, tetapi sertifikat-sertifikat perantara RSA tersebut masih ditandatangani lintas-silang oleh “DST Root CA X3” dari IdenTrust (kemudian disebut sebagai “TrustID X3 Root”) sebagai kompatibilitas klien tambahan. Sertifikat Root IdenTrust telah beredar cukup lama dan oleh sebab itu memiliki kompatibilitas yang lebih baik bagi perangkat dan sistem operasi yang lebih berumur (misalkan Windows XP, Android 7). Anda dapat mengunduh sertifikat “TrustID X3 Root” dari IdentTrust (atau, anda dapat juga mengunduh salinannya dari kami).

Dengan memiliki tanda-tangan lintas-silang, itu berarti bahwa tiap-tiap sertifikat perantara RSA kami memiliki dua sertifikat yang merepresentasikan signing key yang sama. Yang satu ditanda-tangani oleh DST Root CA X3 dan yang satunya lagi ditanda-tangani oleh ISRG Root X1. Cara termudah untuk membedakan keduanya adalah dengan melihat bidang Penerbit mereka.

Saat mengkonfigurasi server web, operator server mengonfigurasi tidak hanya sertifikat entitas akhir, tetapi juga daftar sertifikat perantara untuk membantu browser memverifikasi bahwa sertifikat entitas akhir memiliki rantai kepercayaan yang mengarah ke sertifikat root tepercaya. Hampir seluruh operator server akan memilih untuk melayani rantai sertifikat yang terdiri atas sertifikat perantara dengan Subyek “R3” dan Penerbit “ISRG Root X1”. Certbot, aplikasi klien Let’s Encrypt yang direkomendasikan, dapat membuat pengaturan tersebut berjalan dengan mulus.

Root

Sama halnya dengan sertifikat perantara, sertifikat root juga dapat ditanda-tangani dengan lintas-silang, seringkali hal ini untuk meningkatkan kompatibilitas klien. Sertifikat root ECDSA kami, ISRG Root X2 di susun pada kisaran september hingga november 2020 dan merupakan sertifikat root bagi hirarki ECDSA. Sertifikat tersebut di representasikan oleh dua sertifikat berikut: satu yang ditanda-tangani sendiri (self-signed) dan satunya yang ditanda-tangani oleh ISRG Root X1.

Seluruh sertifikat yang ditanda-tangani menggunakan sertifikat perantara ECDSA “E1” akan terbit dengan rangkaian yang mengandung sertifikat perantara dengan Subyeknya adalah “ISRG Root X2” dan Penerbitnya adalah “ISRG Root X1”. Mayoritas operator server akan memilih menyediakan rankaian sertifikat ini karena menawarkan kompatibilitas terlengkap hingga ISRG Root X2 dipercaya secara luas.

Sertifikat Penanda-tangan OCSP

Sertifikat ini digunakan untuk menandatangani tanggapan OCSP untuk sertifikat perantara Let’s Encrypt, sehingga kami tidak perlu membawa kunci root online untuk menandatangani respon tersebut. Salinan sertifikat ini disertakan secara otomatis dalam respons OCSP tersebut, sehingga Pelanggan tidak perlu melakukan apa pun. Tautan berikut diberikan hanya untuk informasi saja.

Sertifikat perantara kami yang baru tidak memiliki URL OCSP ( informasi pencabutan disediakan melalui CRL), oleh karena itu kami tidak menerbitkan penandatanganan OCSP melalui ISRG Root X2.

Transparansi Sertifikat

Kami berdedikasi untuk menjaga transparansi pada operasi dan sertifikat yang kami terbitkan. Kami menampilkan semua sertifikat yang kami terbitkan ke Log Transparansi Sertifikat. Anda dapat melihat semua sertifikat Let’s Encrypt yang diterbitkan melalui tautan ini: