Последнее обновление:
Внимание! Английская версия сайта была обновлена, перевод неактуален () Просмотреть на английском
Корневые сертификаты
Наши корневые сертификаты хранятся в надёжном месте и недоступны онлайн. Мы выпускаем сертификаты для пользователей на основе промежуточных сертификатов из следующего раздела. Для дополнительной совместимости с новым Root X2 с различными корневыми хранилищами, мы также подписали его с Root X1.
- Активные
- ISRG Root X1 (
RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
- ISRG Root X1 (
- Действующий, с ограничениями
- ISRG Root X2 (
ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
- ISRG Root X2 (
Мы создали сайты для проверки цепочки сертификатов вплоть до активных корневых.
- ISRG Root X1
- ISRG Root X2
Промежуточные сертификаты
Как правило, сертификаты, выпущенные Let’s Encrypt, создаются на основе “R3”, промежуточного RSA. В настоящее время выпуск сертификатов из “E1”, промежуточного ECDSA-сертификата, возможен только для ключей ECDSA из разрешенных аккаунтов. В будущем выпуск сертификатов из “Е1” будет доступен для всех.
Дополнительные промежуточные сертификаты (“R4” и “E2”) зарезервированы для восстановления после стихийных бедствий, и будут использованы только в том случае, если мы потеряем доступ к нашими основным межуточным сертификатам. Мы больше не используем промежуточные сертификаты X1, X2, X3 и X4.
IdenTrust кросс-подписал наши промежуточные сертификаты RSA для дополнительной совместимости.
- Активные
- Let’s Encrypt R3 (
RSA 2048, O = Let's Encrypt, CN = R3)- Подписанный ISRG Root X1: der, pem, txt
- Кросс-подписанный IdenTrust: der, pem, txt (Retired)
- Let’s Encrypt R3 (
- Действующий, с ограничениями
- Let’s Encrypt E1 (
ECDSA P-384, O = Let's Encrypt, CN = E1)
- Let’s Encrypt E1 (
- Резервное копирование
- Let’s Encrypt R4 (
RSA 2048, O = Let's Encrypt, CN = R4)- Подписанный ISRG Root X1: der, pem, txt
- Кросс-подписанный IdenTrust: der, pem, txt (Retired)
- Let’s Encrypt E2 (
ECDSA P-384, O = Let's Encrypt, CN = E2)
- Let’s Encrypt R4 (
- Неиспользуемые
- Let’s Encrypt Authority X1 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X1) - Let’s Encrypt Authority X2 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X2) - Let’s Encrypt Authority X3 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X3) - Let’s Encrypt Authority X4 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X4)
- Let’s Encrypt Authority X1 (
Кросс-подпись
Промежуточные сертификаты
Каждый из наших промежуточных сертификатов представляет собой одну публичную/частную ключевую пару. Это позволяет всем основным браузерам принимать наши сертификаты с нашим же корневым сертификатом.
Наши промежуточные RSA-сертификаты подписаны ISRG Root X1. На данный момент ISRG Root X1 пользуется широким доверием, но у наших промежуточных RSA по-прежнему кросс-подпись “DST Root CA X3” IdenTrust (теперь он называется “TrustID X3 Root”) для дополнительной клиент-совместимости. Корневой сертификат IdenTrust существует дольше и поэтому лучше совместим со старыми устройствами и операционными системами (например, Windows XP, Android 7). Вы можете загрузить “TrustID X3 Root” из IdenTrust (или, как вариант, вы можете скачать копию у нас).
Кросс-подпись означает, что каждый из наших промежуточных сертификатов имеет два сертификата, представляющих один и тот же ключ подписи. Один подписан DST Root CA X3, другой подписан ISRG Root X1. Самый простой способ отличить их — посмотреть на поле “Issuer” (издатель).
При настройке web-сервера, администратор указывает не только листовые сертификаты, но и список промежуточных сертификатов. Это помогает браузеру проверить, входит ли листовой сертификат в цепочку доверия, ведущую к корневому сертификату. Почти все операторы серверов будут выбирать для обслуживания цепочку, включающую промежуточный сертификат с субъектом “R3” и издателем “ISRG Root X1”. Рекомендуемое клиентское программное обеспечение Let’s Encrypt, Certbot, выполнит эту задачу без затруднений.
Корневые сертификаты
Как и промежуточные сертификаты, корневые сертификаты могут быть кросс-подписаны, часто для увеличения клиентской совместимости. Наш корневой ECDSA-сертификат, ISRG Root X2 был создан осенью 2020 года и является корневым сертификатом для иерархии ECDSA. Он представлен двумя сертификатами: самоподписанным и подписанным ISRG Root X1.
Все сертификаты, подписанные промежуточным ECDSA-сертификатом “E1”, будут иметь цепочку с промежуточным сертификатом, у которого субъект “ISRG Root X2”, а издатель “ISRG Root X1”. Почти все сервера выберут для обслуживания эту цепочку, поскольку она обеспечивает наибольшую совместимость до тех пор, пока ISRG Root X2 не получит широкого доверия.
Сертификат подписания ответов OCSP
Этот сертификат используется для подписания ответов OCSP для промежуточных Центров Сертификации Let’s Encrypt. Таким образом нам не нужно иметь онлайне-доступ к корневому сертификату, чтобы подписать эти ответы. Копия сертификата подписания включена в ответ OCSP для информирования, дополнительно пользователям ничего делать не нужно.
- ISRG Root OCSP X1 ([Подписанный ISRG Root X1](https://crt. sh/? id=2929281974)): [der](/certs/isrg-root-ocsp-x1. der), [pem](/certs/isrg-root-ocsp-x1. pem), [txt](/certs/isrg-root-ocsp-x1. txt)
У наших новых промежуточных сертификатов нет OCSP URL-адресов (их информация об отзыве вместо этого используется CRL), поэтому мы не выпустили сертификат подписи OCSP от ISRG Root X2.
Прозрачность сертификата
В Let’s Encrypt мы в нацелены на прозрачность в наших процессах и в сертификатах, которые выпускаем. Мы записываем сертификаты в [журнал Certificate Transparency](https://www.certificate-transparency.org/) сразу, как только выпускаем их. Все наши сертификаты доступны по ссылкам: