Lanac poverenja

Root Sertifikati

Naši root sertifikati se čuvaju na sigurnom “offline” mestu. Mi izdajemo sertifikate našim pretplatnicima preko posrednika iz naredne sekcije.

Postavili smo web sajtove za testiranje sertifikata koji se vezuju za naše root sertifikate.

Posrednički Sertifikati

IdenTrust je potpisnik naših intermedijara. To nam omogućava prihvatanje naših krajnjih sertifikata od strane svih glavnih pretraživača.

U normalnim okolnostima, sertifikati izdati od strane Let’s Encrypt potiču iz „Let’s Encrypt Authority X3”. Drugi međupredmet, „Let’s Encrypt Authority X4“, rezervisan je za oporavak od katastrofe i koristiće se samo ako izgubimo mogućnost izdavanja sa „Let’s Encrypt Authority X3“. Međuprodukti X1 i X2 bili su naša prva generacija intermedijara. Zamenili smo ih novim intermedijarima koji su kompatibilniji sa Windows XP-om.

Unakrsno potpisivanje

Naš intermedijar „Let’s Encrypt Authority X3“ predstavlja jedinstven javni / privatni par ključeva. Privatni ključ tog para generiše potpis za sve krajnje entitetske sertifikate (poznati i kao listovi sertifikata), tj. sertifikati koje izdajemo za upotrebu na vašim serverima.

Naš posrednik potpisuje ISRG Root X1. Međutim, s obzirom da smo vrlo mlado sertifikaciono telo, ISRG Root X1 još uvek nije priznat u većini pretraživača. Da bismo odmah dobili poverenje, naš intermedijar takođe je unakrsno potpisan od strane još jednog sertifikacionog tela, IdenTrust, čiji je root već priznat u svim glavnim pretraživačima. Konkretno, IdenTrust je potpisao naš intermedijar koristeći njihov “DST Root CA X3” (sada se zove “TrustID X3 Root”). Preuzmite “TrustID X3 Root” na identrust.com (ili, alternativno, kopiju možete preuzeti ovde: .pem, .p7b).

To znači da su na raspolaganju dva sertifikata gde oba predstavljaju naš intermedijar. Jednog potpisuje DST Root CA X3, a drugog potpisuje ISRG Root X1. Najjednostavniji način za razlikovanje je gledanje u informaciju o njihovom izdavaču.

Prilikom konfigurisanja web servera, administrator servera konfiguriše ne samo sertifikat krajnjeg entiteta, ali i popis intermedijara koji će pomoći pretraživačima da provere da sertifikat krajnjeg entiteta ima lanac poverenja koji vodi do pouzdanog root-a. Gotovo svi administratori servera će izabrati da opslužuju lanac uključujući posredni sertifikat s naslovom „Let’s Encrypt Authority X3“ i Izdavač “DST Root CA X3.” Preporučeni Let’s Encrypt softver, Certbot, ovu konfiguraciju će nesmetano izvršiti.

Sledeća slika objašnjava odnose između naših sertifikata vizuelno:

ISRG Key relationship diagram

OCSP Signing Sertifikat

Ovaj sertifikat koristi se za potpisivanje OCSP odgovora za Let’s Encrypt intermedijara, tako da ne moramo postavljati root ključ na mrežu kako bi smo potpisali te odgovore. Kopija ovog sertifikata automatski se uključuje u OCSP odgovore, tako da pretplatnici ne moraju ništa učiniti. Iz tog razloga, to ovde navedimo samo u informativne svrhe.

Transparentnost sertifikata

Posvećeni smo transparentnosti u svom poslovanju i u sertifikatima koje izdajemo. Sve potvrde šaljemo u Log o Transparentnosti sertifikata dok ih izdajemo. Možete pregledati sve izdate sertifikate na sledećim linkovima:

Više informacija

Privatni ključevi za ISRG root CA i intermedijarni podaci Let’s Encrypt čuvaju se na hardverskim sigurnosnim modulima (HSM), koji pružaju visok stepen zaštite od krađe ključeva.

Svi ISRG ključevi trenutno su RSA ključevi. U budućnosti planiramo generisati ECDSA ključeve.