此常见问题列表分为以下几个部分:
Let’s Encrypt 是一家全球性的证书颁发机构(CA), 为世界各地的个人和团体提供获取、续期、管理 SSL/TLS 证书的服务。 网站可以使用我们的证书来启用安全的 HTTPS 连接。
Let’s Encrypt 提供域名验证型(DV)证书。 我们不提供组织验证(OV)或扩展验证(EV),这主要是因为我们无法自动化地颁发这些类型的证书。
前往我们的快速入门页面即可开始使用 Let’s Encrypt。
我们颁发证书不收取任何费用。 Let’s Encrypt 属于非营利组织,旨在推广 HTTPS 技术的应用,从而构建更加安全且尊重隐私的互联网环境。 我们致力于提供免费便捷的服务,以此帮助所有网站部署 HTTPS。
同时,我们也需要个人与赞助商的慷慨援助,才能持续向全球提供免费的服务。 如果您有兴趣支持我们,请考虑捐款或成为赞助商。
部分服务商(如网站托管服务)可能会收取小额费用,以弥补其提供 Let’s Encrypt 证书所产生的管理费用。
Let’s Encrypt 的运营团队规模较小,依靠自动化来降低成本, 因此无法直接为用户提供客服支持。 不过我们确实有一些很棒的支持服务:
这段影片充分展现了社群支持的力量,与我们的观念不谋而合。
我们建议向 Google Safe Browsing 与 Microsoft SmartScreen 项目举报此类网站,以便更为有效地保护用户。 举报网址如下:
如果您想深入了解我们的相关政策及其背后的原因,可以阅读此文:
https://letsencrypt.org/2015/10/29/phishing-and-malware.html
对于大多数浏览器和操作系统,是的。 详见兼容性列表。
Let’s Encrypt 颁发的是标准的域名验证型证书,凡是有域名的服务器都能使用,包括网页服务器、邮件服务器、FTP 服务器等等。
电子邮件加密与代码签名采用的是另一种证书,Let’s Encrypt 不能颁发。
不会。 永远不会。
私钥的生成和管理始终由您自己的服务器而不是 Let’s Encrypt 证书颁发机构进行。
我们的证书有效期为 90 天。 其背后的原因可以从这里了解。
这一期限不能调整,也没有例外。 我们建议您每 60 天自动续期一次证书。
我们没有计划颁发 OV 或 EV 证书。
是的,可以使用主体备用名称(SAN)机制使同一份证书包含多个不同的名称。
是的。 通配符证书必须通过 ACMEv2 采用 DNS-01 质询签发。 有关更多技术信息,请参阅该网页。
您有大量的 ACME 客户端可以选择。 其中很可能就有支持您操作系统的客户端。 我们建议您在入门时使用 Certbot。
是的,但并非所有客户端都支持此功能。 Certbot 是支持的。
这是意料之中的正常情况。 在证书颁发流程中,Let’s Encrypt 会从多个网络位置核验您对域名的控制权。 验证通过后,您的证书还将录入各类证书透明化日志系统, 您可以在此处了解这种做法的必要性。 证书录入系统后,系统便会开始自动检测您的域名并尝试访问,在您的服务器日志中产生更多的记录。
我们不会发布用于验证的 IP 地址列表,因为它们随时都可能改变。 请注意,我们目前有多个用于验证的 IP 地址。
域名验证通过后,结果会保留一段时间, 30 天内有效。 如果您申请证书时所有验证结果都还未过期,就无需重复验证。
我们要求 ACME 客户端在随机的时间点执行证书续期,防止每天的特定时刻(例如协调世界时的午夜零点、每小时或每分钟的第一秒)出现流量高峰。 服务器繁忙时会要求客户端稍后重试,因此将续期时间随机化也能避免不必要的反复请求。
资深网络安全学者 Ivan Ristić 曾发表过一篇配置指南,列举了设置 TLS 应注意的事项,参考价值很高。
如果要更广泛、更深入地学习相关背景知识,推荐 Ristić 的另一部著作 Bulletproof TLS and PKI。