Viimeksi päivitetty:
Juuri-varmenteet
Meidän juuret pidetään turvallisesti pois verkosta. Myönnämme loppukäyttäjän varmenteita välimiehiltä seuraavasta osiosta tilaajille. Yhteensopivuuden lisäämiseksi lähettäessämme uuden Root X2:n useisiin juuriohjelmiin, olemme myös ristiinallekirjoittaneet sen Root X1:stä.
- Aktiivisia
- ISRG Root X1 (
RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1
)- Itseallekirjoitettu: der, pem, txt
- DST Root CA X3:n ristiinallekirjoitus: [der](/certs/isrg-root-x1-cross-signed. der), pem, [txt](/certs/isrg-root-x1- cross-signed.txt)
- ISRG Root X1 (
- Aktiivisia, rajoitetulla saatavuudella
- ISRG Root X2 (
ECDSA P-384, O = Internet Security Research Group, CN = ISRG Root X2
)- Itseallekirjoitettu: der, pem, txt
- ISRG Root X1:n ristiinallekirjoitus: der, pem, [txt](/certs/isrg-root-x2-cross -signed.txt)
- ISRG Root X2 (
Olemme asettaneet verkkosivustot testaamaan varmenteiden ketjutusta aktiivisiin juurimme saakka.
- ISRG Root X1
- ISRG Root X2
Välilliset varmenteet
Tavanomaisissa olosuhteissa Let’s Encryptin myöntämät varmenteet ovat peräisin “R3”:sta, RSA-välilliseltä. Tällä hetkellä, myöntäminen ’E1’:ltä, eräs ECDSA-välillinen, on mahdollista ainoastaan sallittujen tilien ECDSA-tilaajaavaimille. Tulevaisuudessa myöntäminen ‘E1’:ltä on kaikkien saatavilla.
Muut välillisemme (“R4” ja “E2”) on varattu katastrofipalautukseen, ja niitä käytetään vain, jos menetämme myöntämiskyvyn ensisijaisilla välillisillämme. Emme enää käytä X1, X2, X3 ja X4 välituotteita.
IdenTrust on allekirjoittanut RSA-välillisemme yhteensopivuuden lisäämiseksi.
- Aktiivisia
- Let’s Encrypt R3 (
RSA 2048, O = Let's Encrypt, CN = R3
)- Allekirjoittanut ISRG Root X1: der, pem, txt
- Ristiinallekirjoittanut IdenTrust : der, pem, txt (eläkkeellä)
- Let’s Encrypt R3 (
- Aktiivisia, rajoitetulla saatavuudella
- Let’s Encrypt E1 (
ECDSA P-384, O = Let's Encrypt, CN = E1
)
- Let’s Encrypt E1 (
- Varmuuskopiointi
- Let’s Encrypt R4 (
RSA 2048, O = Let's Encrypt, CN = R4
)- Allekirjoittanut ISRG Root X1: der, pem, txt
- Ristiinallekirjoittanut IdenTrust : der, pem, txt (eläkkeellä)
- Let’s Encrypt E2 (
ECDSA P-384, O = Let's Encrypt, CN = E2
)
- Let’s Encrypt R4 (
- Eläkkeellä
- Let’s Encrypt Authority X1 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X1
) - Let’s Encrypt Authority X2 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X2
) - Let’s Encrypt Authority X3 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X3
) - Let’s Encrypt Authority X4 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X4
)
- Let’s Encrypt Authority X1 (
Ristiinallekirjoitus
Välilliset
Jokainen välillisemme edustaa yhtä julkista/yksityistä avainparia. Tämän parin yksityinen avain luo allekirjoituksen kaikille loppuyksikön varmenteille (tunnetaan myös lehtivarmenteina), eli varmenteille, jotka myönnämme käytettäväksi palvelimellasi.
Meidän RSA-välillisiä ovat allekirjoittaneet ISRG Root X1. ISRG Root X1:een luotetaan tässä vaiheessa laajalti, mutta RSA-välillisemme on edelleen allekirjoittanut IdenTrustin “DST Root CA X3 -sovelluksella. (tällä hetkellä nimeltään “TrustID X3 Root”) asiakasyhteensopivuuden lisäämiseksi. IdenTrust-juuri on ollut olemassa pidempään ja sillä on siten parempi yhteensopivuus vanhempien laitteiden ja käyttöjärjestelmien kanssa (esim. Windows XP, Android 7). Voit ladata “TrustID X3 Root” IdenTrustista (tai vaihtoehtoisesti [lataa kopio meiltä](/certs/trustid -x3-root.pem.txt)).
Ristiinallekirjoituksen olemassa olo tarkoittaa, että jokaisella RSA-välillisellämme on kaksi samaa allekirjoitusavainta edustavaa varmennetta. Yksi on allekirjoittanut DST Root CA X3 ja toinen on allekirjoittanut ISRG Root X1. Helpoin tapa erottaa nämä kaksi on katsoa niiden myöntäjän kenttää.
Kun määrität verkkopalvelinta, palvelimen operaattori konfiguroi loppuyksikön varmenteen lisäksi luettelon välillisistä, jotka auttavat verkkoselaimia varmistamaan, että loppuyksikön varmenteella on luotettuun juurivarmenteeseen johtava luottamusketju. Melkein kaikki palvelinoperaattorit valitsevat ketjun, joka sisältää välivarmenteen, jonka aihe on “R3” ja myöntäjä “ISRG Root X1”. Suositeltu Let’s Encrypt asiakasohjelmisto, Certbot, tekee tästä kokoonpanosta saumattomasti.
Juuret
Kuten välilliset, juurivarmenteita voidaan ristiinallekirjoittaa, usein asiakkaiden yhteensopivuuden lisäämiseksi. ECDSA-juuremme, ISRG Root X2, luotiin syksyllä 2020 ja on ECDSA-hierarkian juurivarmenne. Sitä edustaa kaksi varmennetta: toinen on itseallekirjoitettu ja toinen ISRG Root X1:n allekirjoittama.
Kaikki ECDSA-välillisen “E1” allekirjoittamat varmenteet toimitetaan ketjulla, joka sisältää välivarmenne, jonka aihe on “ISRG Root X2” ja jonka myöntäjä on “ISRG Root X1”. Melkein kaikki palvelinoperaattorit valitsevat tämän ketjun palvelemisen, koska se tarjoaa parhaan yhteensopivuuden, kunnes ISRG Root X2:een luotetaan laajalti.
OCSP-allekirjoitusvarmenne
Tätä varmennetta käytetään OCSP-vastausten allekirjoittamiseen Let’s Encrypt Authority -välillisille, jotta meidän ei tarvitse tuoda juuriavainta verkkoon näiden vastausten allekirjoittamista varten. Kopio tästä varmenteesta sisältyy automaattisesti näihin OCSP-vastauksiin, joten tilaajien ei tarvitse tehdä mitään sen kanssa. Se sisältyy tässä vain tiedoksi.
- ISRG Root OCSP X1 (Allekirjoittanut ISRG Root X1): der, pem, txt
Uudemmilla välillisillämme ei ole OCSP-URL:a (niiden kumotustiedot toimitetaan sen sijaan CRL:n kautta), joten emme ole myöntäneet OCSP-allekirjoitusvarmennetta ISRG Root X2:lta.
Certificate Transparency
Olemme sitoutuneet toiminnassamme ja myöntämiemme varmenteiden läpinäkyvyyteen. Lähetämme kaikki varmenteet varmenteiden läpinäkyvyyslokeihin sitä mukaa, kun niitä myönnämme. Voit nähdä kaikkia myönnettyjä varmenteita näiden linkkien kautta: