Thousands of people around the world make our work possible. Donate today.

憑證信任鏈

最後更新於

請注意:英文版本(原版)在本翻譯後有改動 () 查看英文版本

根憑證

我們簽發根憑證的私鑰以離線方式存儲在安全的地點。我們使用中間憑證向用戶頒發終端憑證,中間憑證將在下一章節介紹。

我們設置了以下網站,用來測試由根憑證所簽發的憑證鏈是否有效。

中間憑證

IdenTrust 和我們交互簽名 (Cross-Sign) 了中間憑證,這樣可以確保我們所發的終端憑證被所有主流瀏覽器信任。

在正常的情況下,由 Let’s Encrypt 所頒發的憑證會來自中間憑證 “Let’s Encrypt Authority X3”。而另一個中間憑證 “Let’s Encrypt Authority X4” 將被保留起來用於災難恢復期,只有在我們失去對 “Let’s Encrypt Authority X3” 的掌控時才會使用它。X1 和 X2 是我們的第一代中間憑證,為了更好地相容 Windows XP,我們將他們替換為目前的 X3 和 X4 中間憑證。

交互簽名

我們的中間憑證 “Let’s Encrypt Authority X3” 具有一對公鑰和私鑰, 我們使用金鑰中的私鑰替所有終端憑證(也稱為子葉憑證)簽名,這也就是我們頒發給你伺服器的憑證。

我們的中間憑證是由 ISRG Root X1 根憑證所簽發。因為我們還是個非常新的憑證頒發機構,ISRG Root X1 尚未受到大多數的瀏覽器的信任。為了使我們頒發的憑證被廣為信任,我們向一個已受主流瀏覽器信任的根憑證 IdenTrust,交互簽名後產生了我們的中間憑證。精確地說,IdenTrust 使用他們的 “DST Root CA X3”(現在被稱為 “TrustID X3 Root”)與我們交互簽名後產生了我們的中間憑證。你可以從 identrust.com 網站下載 “TrustID X3 Root”(或是你也可以在這裡下載副本:.pem.p7b)。

這表示我們現在有兩種中間憑證。一種由 DST Root CA X3 根憑證所簽發,而另一種由 ISRG Root X1 根憑證所簽發。區分這兩種憑證最簡單的方法,就是查看憑證的簽發者 (Issuer) 欄位。

當你在設定網頁伺服器時,伺服器管理者不只需要設定終端憑證,也需要設定中間憑證;以幫助瀏覽器透過信任鏈,驗證終端憑證是否被受信任的根憑證所簽發。幾乎所有的伺服器管理者都會選擇使用由 “DST Root CA X3” 根憑證,以及 “Let’s Encrypt Authority X3” 中間憑證所組成的憑證信任鏈。我們建議你使用 Let’s Encrypt 所開發的軟體 Certbot,替你無縫地設定憑證信任鏈。

下圖表示憑證之間的關係:

ISRG 憑證關係圖

OCSP 憑證

為避免我們將 ISRG 根憑證的私鑰放到線上伺服器中,因此我們使用 OCSP 憑證的私鑰替 Let’s Encrypt 中間憑證簽署 OCSP 回應。OCSP 回應中會自動將這張憑證的複本包含在其中,因此使用者不需要需進行任何操作。這裡放上此憑證供你參考。

憑證透明度

我們努力使 Let’s Encrypt 的運作及憑證頒發過程保持透明。我們在頒發憑證時,會將憑證透過憑證透明度系統紀錄下來。你可以通過以下連結查看所有 Let’s Encrypt 所頒發過的憑證:

更多訊息

ISRG 根憑證和 Let’s Encrypt 中間憑證的私鑰均存儲在硬體安全模組 (HSM) 中;它提供高度安全的保護,以避免私鑰被竊取。

目前所有 ISRG 私鑰均為 RSA 私鑰。我們正在計劃使用 ECDSA 私鑰