Останнє оновлення:
Примітка: Англійська версія була оновлена з моменту перекладу () Переглянути англійською
Кореневий сертифікат
Наше коріння зберігається в безпеці поза мережею. Ми видамо сертифікати кінцевої сутності підпісникам проміжного рівня у наступному розділі. Для додаткової сумісності, так як ми подаємо наш новий Root X2 у різноманітних кореневих програмах, ми схрестили його з Root X1.
- Активний
- ISRG Root X1 (
RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
- ISRG Root X1 (
- Активна, обмежена доступність(перспективність)
- ISRG Root X2 (
ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2)
- ISRG Root X2 (
Ми створили веб -сайти для тестування сертифікатів, приєднаних до наших активних коренів.
- ISRG корінь X1
- ISRG коріньX2
Проміжні сертифікати
За звичайних обставин, сертифікати, видані Let’s Encrypt, надходитимуть від “R3”, проміжного продукту RSA. Наразі видача з “E1”, посередника ECDSA, можлива лише для відповідейдозволених акаунтів В майбутньому видача від “E1” буде доступна для кожного.
Інші наші проміжні продукти (“R4” та “E2”) зарезервовані для ліквідації наслідків катастрофи і будуть використовуватися лише в разі втрати можливості спілкування з нашими первинними проміжними продуктами. Ми не використовуємо X1, X2, X3 та X4 більше проміжних продуктів.
IdenTrust підписав наші проміжні продукти RSA для додаткової сумісності.
- Активний
- Let’s Encrypt R3 (
RSA 2048, O = Let's Encrypt, CN = R3)- підписаний ISRG коренем X1
- Перехресно підписаний IdenTrust: der, pem, txt (На пенсії)
- Let’s Encrypt R3 (
- Активна, обмежена доступність
- Let’s Encrypt E1 (
ECDSA P-384, O = Let's Encrypt, CN = E1)
- Let’s Encrypt E1 (
- Резервне копіювання
- Let’s Encrypt R4 (
RSA 2048, O = Let's Encrypt, CN = R4)- підписаний ISRG корінь Х1: der, pem, txt
- Перехресно підписаний IdenTrust:der,pem,txt (На пенсії)
- Let’s Encrypt E2 (
ECDSA P-384, O = Let's Encrypt, CN = E2)
- Let’s Encrypt R4 (
- На пенсії
- Let’s Encrypt Authority X1 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X1) - Let’s Encrypt Authority X2 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X2) - Let’s Encrypt Authority X3 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X3) - Let’s Encrypt Authority X4 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X4)
- Let’s Encrypt Authority X1 (
Перехресне підписання
Проміжні речі
Кожен з наших середніх (проміжних) продуктів представляє єдину публічну/приватну пару відповідей. Приватна відповідь цієї пари генерує підпис для всіх кінцевих сертифікатів (також відомих як листові (паперові) сертифікати), тобто сертифікати, які ми видаємо для використання на вашому сервері.
Наші RSA проміжні речі підписані ISRG Root X1. ISRG Root X1 є досить довіряючий як правило, але наші проміжні продукти RSA все ще схрещені компанією IdenTrustDST Root CA X3"(зараз називається “TrustID X3 Root”) для додаткової сумісності клієнтів. IdenTrust root існує довше і тому має кращу сумісність зі старими пристроями та операційними системами (e.g. Windows XP, Android 7). Ти можешзавантажити “TrustID X3 Root” з IdenTrust (or, замість цього, ти можеш завантажити копію від нас).
Маючи значення перехресних підписів, що кожен з наших RSA проміжних продуктів має два сертифікати, що представляють одну і ту ж розгадку підпису. Один підписаний DST Root ЦС X3, а інший підписаний ISRG Root X1. Найлегший спосіб розрізнити два це дивитися на поле видавця.
При налаштуванні веб -сервера оператор сервера налаштовує не тільки сертифікат кінцевої сутності, а також список проміжних продуктів, які допоможуть браузерам перевірити, що сертифікат кінцевої сутності має ланцюжок довіри, що веде до надійності сертифікату. Майже всі оператори серверів вирішать обслуговувати ланцюг, у тому числі проміжний сертифікат з предметом “R3” і видавцем “ISRG Root X1”. Рекомендація клієнта програмного забезпечення Let’s Encrypt бот комп’ютерної допомогизробить конфігурацію без проблем.
Корені
Подібно до проміжних продуктів, сертифікати можуть бути перехресними, часто для збільшення сумісності клієнта. Наш корінь ECDSA, ISRG Root X2 був створений восени 2020 року і є коренем сертифікату для ієрархії ECDSA. Він представлений двома сертифікатами: одним, який є самопідписаним і той, який підписаний ISRG Root X1.
Усі сертифікати, підписані проміжним ECDSA “E1”, будуть поставлені з ланцюжком, включаючи проміжний сертифікат, предметом якого є “ISRG Root X2”, а емітентом - “ISRG Root X1”. Майже всі оператори серверів вирішать обслуговувати цей ланцюжок, оскільки він пропонує найбільшу сумісність до ISRG Root X2, який користується широкою довірою.
OCSP Підписання Сертифікатів
Цей сертифікат використовується для підпису відповідей OCSP для Центру Let’s Encrypt проміжних продуктів, тому нам не потрібно виводити початкову відповідь з метою записати ці відповіді. Копія цього сертифіката автоматично включає відповіді OCSP, тому підписникам не потрібно нічого з цим робити. Це подається тут лише з метою інормації.
- ISRG Root OCSP X1 (підписаний ISRG Root X1): der, pem, txt
Наші новіші проміжні не мають OCSP URLs (інформація про їх відкликання надається через CRL), тому ми не видавали сертифікат підписання OCSP від ISRG Root X2.
Прозорість сертифіката
Ми прагнемо до прозорості у своїй діяльності та в виданих нами сертифікатах. Ми подаємо всі сертифікати до Журнали прозорості сертифікатівколи ми їх видаємо. Ти можеш переглянути всі видані Let’s Encrypt сертифікати за допомогою цих посилань: