Förtroendekedja

Senast uppdaterad:

Observera: Den engelska versionen har uppdaterats sedan översättningen () Visa på engelska

Rotcertifikat

Våra rotcertifikat sparas under säkra former offline. Vi utfärdar servercertifikat (lövcertifikat) till våra prenumeranter från våra mellancertifikat i nästa sektion.

Vi har skapat webbsidor för att testa certifikatkedjning till våra rotcertifikat.

Mellancertifikat

IdenTrust har korssignerat våra mellancertifikat. Detta gör att våra servercertifikat accepteras av alla stora webbläsare under tiden vi sprider vårt eget rotcertifikat.

Under normala förhållanden kommer certifikat utfärdade av Let’s Encrypt från “Let’s Encrypt Authority X3”. Det andra mellancertifikatet, “Let’s Encrypt Authority X4”, är reserverat för nödlägen och kommer bara användas om vi förlorar möjligheten att använda “Let’s Encrypt Authority X3”. Mellancertifikaten X1 och X2 var vår första generation mellancertifikat. Vi har ersatt dem med nya mellancertifikat som är mer kompatibla med Windows XP.

Korssignering

Vårt mellancertifikat “Let’s Encrypt Authority X3” representerar ett enda assymetriskt nyckelpar. Den privata nyckeln i det nyckelparet genererar signaturerna för alla servercertifikat (slutanvändarcertifikat eller lövcertifikat), det vill säga certifikaten vi utfärdar för användning av din webbserver.

Vårt mellancertifikat är signerat av ISRG Root X1 men eftersom vi är en väldigt ny certifikatauktoritet så litar de flesta webbläsare inte på ISRG Root X1 än. För att bli brett betrodd direkt så är vårt mellancertifikat också korssignerat av en annan certifikatauktoritet, IdenTrust, vars rotcertifikat redan är betrott i alla stora webbläsare. Mer specifikt så har IdenTrust korssignerat vårt mellancertifikat med deras “DST Root CA X3” som nu kallas “TrustID X3 Root”. Ladda ner “TrustID X3 Root” från identrust.com (eller ladda ner en kopia här: .pem, .p7b).

Det betyder att det finns två certifikat tillgängliga som båda representerar vårt mellancertifikat. Ett är signerat av DST Root CA X3 och det andra är signerat av ISRG Root X1. Det enklaste sättet att skilja dessa åt är genom att titta på deras Issuer-fält (utfärdare).

När en systemadministratör konfigurerar en webbserver så konfigureras inte bara servercertifikatet utan också en lista av mellancertifikat för att hjälpa webbläsare verifiera att servercertifikatet har en förtroendekedja som leder till ett betrott rotcertifikat. Nästan alla systemadministratörer kommer välja att servera mellancertifikatet med Subject satt till “Let’s Encrypt Authority X3” och Issuer (utfärdare) till “DST Root CA X3”. Den rekommenderade Let’s Encrypt-mjukvaran Certbot utför denna konfiguration sömlöst.

Följande bild förklarar visuellt förhållandena mellan våra certifikat:

ISRG Key relationship diagram

Certifikat för OCSP-signering

Detta certifikat används för att signera OCSP-svar av Let’s Encrypts mellancertifikat så vi inte behöver ta rotnyckeln online för att signera dessa svar. En kopia av detta certifikat inkluderas automatiskt i OCSP-svaren så prenumeranter behöver inte göra något med det. Det finns med här bara som upplysning.

Certifikattransparens

Vi ägnar oss åt öppenhet i vår verksamhet och i certifikaten vi utfärdar. Vi skickar in alla certifikat till certifikattransparensloggar i takt med att vi utfärdar dem. Du kan se alla utfärdade Let’s Encrypt-certifikat via dessa länkar:

Mer info

De privata nycklarna för ISRG:s rotcertifikatauktoritet (rot-CA) och Let’s Encrypts mellan-CA:er är lagrade på hårdvarusäkerhetsenheter (HSM:er) vilket utgör en hög grad av skydd mot nyckelstöld.

Alla ISRG-nycklar är för närvarande RSA-nycklar. Vi planerar att generera ECDSA-nycklar.