最近更新: | 所有文档
证书透明化(CT)是一套记录并监控 TLS 证书颁发流程的系统。 CT 使普通人观察、研究证书颁发过程的能力大幅增强,有力地促进了 CA 生态系统和网络安全的发展。 因此,CT 正迅速成为关键基础设施。
Let's Encrypt 签发的所有证书都会录入 CT 日志。 我们还有两套按年度分片的自营 CT 系统,Oak 和 Sapling。 欢迎所有可信的证书颁发机构将证书提交至我们的日志。 我们的CT日志中已包含许多证书颁发机构的根证书。 如果您所经营的证书颁发机构不在我们的可信颁发者列表中,请在此处发起 Issue。
在我们的社群论坛中开启 CT Announcements 分类的推送通知,即可第一时间获取有关 CT 日志的重要公告。
资金来源
如果您所属的机构有意支持我们持续开展这项事业,请考虑捐款或成为赞助商。
技术架构
请参阅我们的英文博客文章 How Let's Encrypt Runs CT Logs。
日志监控
Let's Encrypt 研发了一款开源的 CT 日志监控工具 CT Woodpecker。 我们使用这一工具监控自营日志系统的稳定性和准确性,期待它能在更多场合发挥作用。
CT 日志服务器
CT 日志在其生命期内所经历的各种状态可在此处详细了解。
生产环境日志
- Oak 已被 Apple 和 Google 的 CT 项目收录。
- 我们的生产环境 ACME 接口签发的证书也会提交至此系统。
-
-
名称: Oak 2019
链接: https://oak.ct.letsencrypt.org/2019
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
日志 ID:65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
开始窗口:2019-01-01T00:00Z
结束窗口:2020-01-07T00:00Z
状态: Rejected - Shard Expired -
名称: Oak 2020
链接: https://oak.ct.letsencrypt.org/2020
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
日志 ID:E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
开始窗口:2020-01-01T00:00Z
结束窗口:2021-01-07T00:00Z
状态: Rejected - Shard Expired -
名称: Oak 2021
链接: https://oak.ct.letsencrypt.org/2021
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
日志 ID:94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
开始窗口:2021-01-01T00:00Z
结束窗口:2022-01-07T00:00Z
状态: Rejected - Shard Expired -
名称: Oak 2022
链接: https://oak.ct.letsencrypt.org/2022
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
日志 ID:DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
开始窗口:2022-01-01T00:00Z
结束窗口:2023-01-07T00:00Z
状态: Rejected - Shard Expired -
名称: Oak 2023
链接: https://oak.ct.letsencrypt.org/2023
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
日志 ID:B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
开始窗口:2023-01-01T00:00Z
结束窗口:2024-01-07T00:00Z
状态: Rejected - Shard Expired -
名称: Oak 2024h1
链接: https://oak.ct.letsencrypt.org/2024h1
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
日志 ID:3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
开始窗口:2023-12-20T00:00Z
结束窗口:2024-07-20T00:00Z
状态: Usable -
名称: Oak 2024h2
链接: https://oak.ct.letsencrypt.org/2024h2
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
日志 ID:3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
开始窗口:2024-06-20T00:00Z
结束窗口:2025-01-20T00:00Z
状态: Usable -
名称: Oak 2025h1
链接: https://oak.ct.letsencrypt.org/2025h1
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEKeBpU9ejnCaIZeX39EsdF5vDvf8ELTHdLPxikl4y4EiROIQfS4ercpnMHfh8+TxYVFs3ELGr2IP7hPGVPy4vHA==
日志 ID:A2:E3:0A:E4:45:EF:BD:AD:9B:7E:38:ED:47:67:77:53:D7:82:5B:84:94:D7:2B:5E:1B:2C:C4:B9:50:A4:47:E7
开始窗口:2024-12-20T00:00Z
结束窗口:2025-07-20T00:00Z
状态: Usable -
名称: Oak 2025h2
链接: https://oak.ct.letsencrypt.org/2025h2
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEtXYwB63GyNLkS9L1vqKNnP10+jrW+lldthxg090fY4eG40Xg1RvANWqrJ5GVydc9u8H3cYZp9LNfkAmqrr2NqQ==
日志 ID:0D:E1:F2:30:2B:D3:0D:C1:40:62:12:09:EA:55:2E:FC:47:74:7C:B1:D7:E9:30:EF:0E:42:1E:B4:7E:4E:AA:34
开始窗口:2025-06-20T00:00Z
结束窗口:2026-01-20T00:00Z
状态: Usable -
名称: Oak 2026h1
链接: https://oak.ct.letsencrypt.org/2026h1
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEmdRhcCL6d5MNs8eAliJRvyV5sQFC6UF7iwzHsmVaifT64gJG1IrHzBAHESdFSJAjQN56TYky+9cK616MovH2SQ==
日志 ID:19:86:D4:C7:28:AA:6F:FE:BA:03:6F:78:2A:4D:01:91:AA:CE:2D:72:31:0F:AE:CE:5D:70:41:2D:25:4C:C7:D4
开始窗口:2025-12-20T00:00Z
结束窗口:2026-07-20T00:00Z
状态: Pending -
名称: Oak 2026h2
链接: https://oak.ct.letsencrypt.org/2026h2
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEanCds5bj7IU2lcNPnIvZfMnVkSmu69aH3AS8O/Y0D/bbCPdSqYjvuz9Z1tT29PxcqYxf+w1g5CwPFuwqsm3rFQ==
日志 ID:AC:AB:30:70:6C:EB:EC:84:31:F4:13:D2:F4:91:5F:11:1E:42:24:43:B1:F2:A6:8C:4F:3C:2B:3B:A7:1E:02:C3
开始窗口:2026-06-20T00:00Z
结束窗口:2027-01-20T00:00Z
状态: Pending
-
名称: Oak 2019
测试环境日志
- 公开可信的证书不应含有此日志系统的 SCT。
- Let's Encrypt 的生产和测试环境 ACME 接口签发的证书都会提交至 Sapling,但生产环境不会使用该系统的 SCT。
- 我们在将新版本的 Trillian 和 certificate-transparency-go 部署到生产环境前会先在此系统中测试。
- Sapling 不仅接受 Oak 所包含的全部根证书,还接受部分用于测试的根证书。
- 其他证书颁发机构也可以使用 Sapling 进行测试。
-
-
名称: Sapling 2022h2
链接: https://sapling.ct.letsencrypt.org/2022h2
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
日志 ID:23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
开始窗口:2022-06-15T00:00Z
结束窗口:2023-01-15T00:00Z
-
名称: Sapling 2023h1
链接: https://sapling.ct.letsencrypt.org/2023h1
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
日志 ID:C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
开始窗口:2022-12-15T00:00Z
结束窗口:2023-07-15T00:00Z
-
名称: Sapling 2023h2
链接: https://sapling.ct.letsencrypt.org/2023h2
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbdCykRsTPRgfjKVQvINRLJk3gy+2qNKOU48bo/sWO0ko75S92C+PBDxsqMEd0YpCYYLogCt2LAK/U4H7UwHsjA==
日志 ID:ED:AB:9D:1D:DD:83:73:95:9F:F5:2A:88:E4:6B:B4:BC:C3:C4:CC:4D:76:8A:60:CC:FF:4E:36:2D:7F:B8:D6:68
开始窗口:2023-06-15T00:00Z
结束窗口:2024-01-15T00:00Z
-
名称: Sapling 2024h1
链接: https://sapling.ct.letsencrypt.org/2024h1
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1Yn4OKJQuwEwo1/BeVBh1NYkQBnS8sYmMfQr/VdXOGqPcbwcpw0TtjJBYmn8FA+ZT7hnt7OfF4RTjLNW3bWOkw==
日志 ID:AA:6C:B0:C5:C9:F4:C4:9D:8D:8E:A9:0C:39:17:E0:D7:0A:D9:22:10:BF:05:7F:41:50:93:82:CC:35:0C:98:46
开始窗口:2023-12-15T00:00Z
结束窗口:2024-07-15T00:00Z
-
名称: Sapling 2024h2
链接: https://sapling.ct.letsencrypt.org/2024h2
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWipy8ZdRGs2Y5tBb8h8c4UUREnT/YMbm+FEUQBBScf85txhGRHNN/sNN0L/KDiGu/GsrOBCkDruDfHkD42eZXQ==
日志 ID:85:1B:AE:8E:EE:33:C1:B9:87:3F:C4:9C:7A:7C:27:65:66:3B:6B:80:63:03:04:0A:EC:A6:C1:11:A5:AB:E9:D7
开始窗口:2024-06-15T00:00Z
结束窗口:2025-01-15T00:00Z
-
名称: Sapling 2025h1
链接: https://sapling.ct.letsencrypt.org/2025h1
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE0orejUR5RSyoqJ0Hyu2gAwO6d9OPGtKgqQwdBMNGkKY1Bms1vzrHaUD5LDEvjB7Ug/ThaXz9eQH03w3jFii0uw==
日志 ID:21:E5:1A:44:D8:B9:E7:54:0E:A7:FB:E0:BA:D7:77:36:15:60:66:84:D1:5A:EB:33:E6:45:B4:E9:55:F3:88:83
开始窗口:2024-12-15T00:00Z
结束窗口:2025-07-15T00:00Z
-
名称: Sapling 2022h2
Sunlight
- Let's Encrypt 正在测试基于 Sunlight 运作的日志系统。
- 公开可信的证书不应含有此日志系统的 SCT。
- Twig 将继续作为测试日志,所接受的 CA 与 Sapling 相同。
- Willow 与 Sycamore 所接受的 CA 与 Oak 相同,最终计划作为生产环境日志。
-
-
名称: Twig 2025h1b
链接: https://twig.ct.letsencrypt.org/2025h1b
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE/d6uF9Yw5/3Lo4nJIdWqY0D9H/v/J/WHWqgl8gmTa6AKiBo5CFddHwlU3wj+pgaQm2OhzV2MnXZCOpbLxyk8LA==
日志 ID:lZC9hfLPxQZJmKurW7JsLnoXZwKRHBO2i0gF4euUJ+8=
开始窗口:2024-12-17T00:00Z
结束窗口:2025-06-17T00:00Z
-
名称: Twig 2025h2b
链接: https://twig.ct.letsencrypt.org/2025h2b
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1WZDmBaw9OoQTk8Yf/IvYkXPw6R6A+uBwHf1L4OrI4gsf/g5s9qtFEF6/NhG3R0+nxfha3apbUjdtNWln9yvkg==
日志 ID:wF0gVDhcss+yF5INLw3Hg1JhR7GqT++Xynjh8LuE/O0=
开始窗口:2025-06-17T00:00Z
结束窗口:2025-12-16T00:00Z
-
名称: Sycamore 2025h1b
链接: https://sycamore.ct.letsencrypt.org/2025h1b
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELnRI9kk9Ahd4T2qNIrqLPvf5lO44NBYwD9lwoV9MqerizPLRDEjzLw2GXa7MonZEXhcMABNHgViY6kb1LeBDJg==
日志 ID:TgJ3oMtvarf2feceaghbLRgMKXeCS/tMK72dLNQR874=
开始窗口:2024-12-18T00:00Z
结束窗口:2025-06-18T00:00Z
-
名称: Sycamore 2025h2b
链接: https://sycamore.ct.letsencrypt.org/2025h2b
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEocuurm/JTMcynwKIeUHntdBm8OuLHcK6HgWD5wkE6JCcsPx1i1jAnULV8TSrzdzb8YSIx+VgFp+/YmqGUMHE5w==
日志 ID:94/yCGmtl2pDc7SsqLOyAxSOFO3mi+FBU1uhNot7qAY=
开始窗口:2025-06-18T00:00Z
结束窗口:2025-12-17T00:00Z
-
名称: Willow 2025h1b
链接: https://willow.ct.letsencrypt.org/2025h1b
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbNmWXyYsF2pohGOAiNELea6UL4/XioI3w6ChE5Udlos0HUqM7KOHIP9qBuWCVs6VAdtDXrvanmxKq52Whh2+2w==
日志 ID:IX7IijpQPODOtMQx74xNVMHVjB9SuiP0KekrE2jAgWE=
开始窗口:2024-12-19T00:00Z
结束窗口:2025-06-19T00:00Z
-
名称: Willow 2025h2b
链接: https://willow.ct.letsencrypt.org/2025h2b
公钥:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAExOxwfLJ0aPb/4ykj0Zv476xGyhs8jCqisDWLnDigV9GAz3tmPvDBT5UwpIlVwWrIF6vjGE1Ics1hDwCsyHZoIg==
日志 ID:5e8hdnsVqhuSh8Bn9rml8aUjEHJ9u4on/u6dHIdJ27g=
开始窗口:2025-06-19T00:00Z
结束窗口:2026-12-18T00:00Z
-
名称: Twig 2025h1b
日志操作
如需查看某一 CT 日志系统包含的所有根证书,可以在任意 UNIX 命令行中执行以下命令:
$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial done
将证书提交至 CT 日志的操作通常由证书颁发机构完成。 如果您想尝试自行提交,可以先获取任一网站的 PEM 格式证书, 例如执行下列命令:
$ echo | \ openssl s_client \ -connect "letsencrypt.org":443 \ -servername "letsencrypt.org" \ -verify_hostname "letsencrypt.org" 2>/dev/null | \ sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt
证书需要以特定的 JSON 格式提交, 您可以使用 https://crt.sh/gen-add-chain 提供的 JSON 生成器完成格式转换。 该页面会生成一份 JSON 文件, 您需要下载并按需重新命名此文件,然后通过以下命令执行证书链添加操作(参见 RFC 6962 的 4.1 节),将证书提交至 CT 日志系统。 该命令的输出中有一段数字签名,其内容实际上就是 SCT。 下文将进一步介绍这一数字签名。
$ curl \ -X POST \ --data @example-json-bundle.json \ -H "Content-Type: application/json" \ -H "User-Agent: lets-encrypt-ct-log-example-1.0" \ https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain {"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}
为了确认 CT 日志是由 Oak 2020 区块签名的,我们可以使用刚才输出的 id 字段执行以下命令, 结果即为 CT 日志的日志 ID。
$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]' E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
数字签名字段可用于验证证书是否已提交至日志系统。 您可以阅读我们的英文博客 SCT deep dive guide 了解如何进一步解码其内容。
$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]' 04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4 9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54 5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81 2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B 47:5F:80:C5:81:F8:0D:B2:1E:2F:84