עדכון אחרון: | הצגת כל התיעוד
ACME (סביבת ניהול אישורים אוטומטית - Automatic Certificate Management Environment) : הפרוטוקול שממומש על ידי Let’s Encrypt. תכניות שתואמות לפרוטוקול הזה יכולות להשתמש בו על מנת לתקשר עם Let’s Encrypt ולבקש אישור. ה־RFC של ACME - ויקיפדיה
CAA (הרשאת רשות אישורים - Certificate Authority Authorization) : רשומת DNS שמציינת אילו רשויות אישורים מורשות להנפיק אישורים לשם התחום התואם. רשומות CAA נבדקות על ידי רשויות אישורים, לא על ידי דפדפנים. ב־Let’s Encrypt מכבדים את רשומות ה־ CAA כפי שנדרש בדרישות היסוד. - ויקיפדיה
ECDSA (אלגוריתם חתימה דיגיטלית מעל עקום אליפטי - Elliptic Curve Digital Signature Algorithm) : סוג של אלגוריתם חתימה דיגיטלית (Digital Signature Algorithm - DSA) שמשתמש בהצפנת עקום אליפטי. ויקיפדיה. Let’s Encrypt תומכת ב־ECDSA עבור אישורי יישות קצה או עלה, אך עדיין לא עבור כל השרשרת: תכונות-מתוכננות
Ed25519 : סוג מסוים של EdDSA, לצד Ed448.
EdDSA (אלגוריתם חתימה דיגיטלית על עקום אדוארדס - Edwards-curve Digital Signature Algorithm) : מערכת מודרנית לחתימה עם מפתח ציבורי על בסיס עקומים אליפטיים, תוכנן כדי לפתור מספר תקלות מימוש נפוצות עם הצפנה על עקום אליפטי. רשויות אישורים כגון Let’s Encrypt עדיין לא יכולות לספק אישורי EdDSA. ויקיפדיה
IdenTrust : רשות אישורים. הרשות IdenTrust חתמה באופן צולב על אישורי התווך של Let’s Encrypt: /certificates. ויקיפדיה
Let's Encrypt (LE) : רשות האישורים שמופעלת על ידי ISRG. ויקיפדיה
OCSP (פרוטוקול מצב אישורים מקוון - Online Certificate Status Protocol) : שיטה לבדוק את מצב השלילה של אישור. במילים אחרות, דרך לבדוק האם רשות אישורים מציינת שהאישור לא אמור להיחשב עוד כתקף, על אף שתאריך התפוגה שלו לא הגיע עדיין. הבקשה הזאת יכולה להוביל לבעיות פרטיות כיוון שהיא מרשה לרשות האישורים ולספקיות האינטרנט לצפות באופן ישיר מי מבקר ובאיזה אתרים. ויקיפדיה
RSA : אלגוריתם מפתח ציבורי שמשמש להצפנה ולחתימה דיגיטלית של אישורים. ויקיפדיה
SSL (שכבת שקעים מאובטחת - Secure Sockets Layer) : השם הקודם של TLS, עדיין נפוץ להשתמש בו.
TLS (אבטחה ברמת התעבורה - Transport-Level Security) : הפרוטוקול בו משתמש HTTPS כדי להצפין ולאמת ביקורים בדפי אינטרנט.
TLSA : החלק ב־DANE (הרשאה מבוססת DNS ליישויות שמיות) שקשור נקודתית לתיקוף חיבורי TLS.
X.509 : התקן שמגדיר את תצורת אישורי המפתח הציבורי. ויקיפדיה
אישור (Certificate) : קובץ בתבנית מסוימת שמכיל מפתח ציבורי ונתונים אחרים שמתארים מתי להשתמש במפתח הציבורי הזה. סוג האישור הנפוץ ביותר הוא אישור עלה. ישנם גם אישורים מתווכים ועליונים.
אישור בחתימה עצמית (Self-signed certificate) : אישור שנחתם באמצעות המפתח הפרטי שלו עצמו כאשר ה־Subject (נושא) שווה ל־Issuer (מנפיק). אישורים בחתימה עצמית מהימנים רק בעקבות סידורים מוקדמים שבוצעו בעולם הפיזי כגון הוספה לרשימת האישורים העליונים המהימנים. אישורים עליונים חתומים עצמית. ויקיפדיה
אישור דרכי תקשורת מאוגדות (UCC - Unified Communications Certificate) : תיאור של אישור שמכיל מספר Subject Alternative Names - שמות נושא חלופיים (SANs).
אישור כוללני (Wildcard Certificate)
: אישורים שתקפים לתת־שמות תחומים עד עומק של רמה אחת למטה. למשל, אישור שמכיל SAN ל־*.example.com
תקף על blog.example.com
ועל www.example.com
אך לא על bork.bork.example.com
או על example.com
. אישור כוללני נבדל בכך שמופיעה בו כוכבית (*) בהתחלה במקום תת־שם תחום. Let’s Encrypt מספקת אישורים כוללניים החל ממרץ 2018. ויקיפדיה
אישור עלה (אישור יישות קצה) (Leaf certificate (end-entity certificate)) : הנפוץ ביותר, אישור שנחתם על ידי אישור תווך, תקף לסדרה מסוימת של שמות תחום ואין אפשרות לחתום אתו על אישורים אחרים. זה סוג האישור שמבקשים לקוחות ACME וגם זה שבו משתמשים שרתי אינטרנט. ויקיפדיה
אישור עליון (Root certificate) : אישור שנחתם עצמית שנשלט על ידי רשות אישורים, משמש לחתימה על אישורי התווך ונכלל במאגרי המהימנים. ויקיפדיה
אישור קדם (Precertificate) : אישורי קדם הם חלק משקיפות אישורים. אישור קדם הוא עותק של האישור שרשות האישורים מתכננת להנפיק, עם תוספת הרחבת רעל a חמורה כדי להגן מפני מצב בו האישור יתקבל על ידי תכנה כלשהי. רשות אישורים מגישה אישור קדם ליומני רשות אישורים בתמורה ל־SCTs. מאחר שאישור קדם אינו זהה לאישור התואם שלך, יכול להיות שביומני שקיפות האישורים יופיעו שניהם. RFC 6962 סעיף 3.1
אישור תווך (Intermediate certificate) : אישור שנחתם על ידי אישור עליון או אישור תווך אחר ומסוגל לחתום על אישורים אחרים. הם משמשים לחתום על אישורי עלה תוך שמירה על המפתח הפרטי של האישור העליון מחוץ לאינטרנט. אישורי תווך נכללים כחלק משרשרת האישורים. ויקיפדיה
אישור תקף שם תחום (Domain-validated certificate) : אישור בו המועמד הוכיח את שליטתו על שם התחום (ולא על זהות הארגון המבקש). Let’s Encrypt מציעה רק אישורי DV (לא OV או EV): שו״ת - ויקיפדיה
בולדר (Boulder) : התכנית שמממשת את ACME, בפיתוח ובשימוש של Let’s Encrypt. GitHub
בקשת חתימה על אישור (CSR - Certificate Signing Request) : קובץ חתום שמכיל את המידע שדורשת רשות האישורים כדי לייצר אישור. המידע שדרוש ל־Let’s Encrypt הוא ה־Common Name (שם נפוץ), Subject Alternative Names (שמות נושא חלופיים) ו־Subject Public Key Info (פרטי מפתח ציבורי של הנושא). בדרך כלל, יישומי לקוחות מייצרים את בקשת החתימה על האישור אוטומטית עבור הלקוח, למרות שספקית אחסון או מכשיר כלשהו גם כן יכולים לייצר בקשה לחתימה על האישור. ויקיפדיה
גוף נסמך (Relying Party) : הגוף שסומך על המידע שבאישור. למשל, מבקר באתר HTTPS הוא גוף נסמך.
גישה למידע של הרשות (AIA - Authority Information Access) : הרחבה לאישור שייעודה לסמן לסוכני משתמש איך לקבל מידע על מנפיק האישור. היא בדרך כלל מציינת את כתובת ה־OCSP ואת כתובת המנפיק.
דפדפן אינטרנט (Web Browser) : סוכן משתמש שמשמש להצגת עמודי תוכן מהאינטרנט. דוגמאות: Firefox מבית Mozilla, Chrome מבית Google או Internet Explorer. ויקיפדיה
דרישות יסוד (BRs - Baseline Requirements) : סדרה של דרישות טכניות והגדרות מדינִיוּת עבור רשויות אישורים. מאחר שכל התכניות העליונות ממזגות את ה־Baseline Requirements (דרישות היסוד), על רשויות האישורים לעקוב אחר הדרישות האלה כדי שרוב הדפדפנים יוכלו לתת בהן אמון.
הכנה להקמה (Staging) : מערכת Let’s Encrypt מספקת API במסגרת הכנה להקמה כדי לבדוק בקשות אישורים מבלי להשפיע על מגבלת המיכסות. אישורים שנוצרו על ידי סביבת ההכנה להקמה אינם מהימנים בקרב הציבור. סביבת ההכנה להקמה מיועדת לטובת בדיקות, ניפוי שגיאות ופיתוח לקוח ACME. /docs/staging-environment
הצהרת אופן אישור (CPS - Certification Practice Statement) : הצהרה של דרכי הפעולה בהן נוקטת רשות אישורים לטובת הנפקה, ניהול, שלילה וחיפוש או החלפת מפתח לאישורים. הצהרת אופן האישור של ISRG - RFC 3647 סעיף 3.4 - ויקיפדיה
הצפנה מבוססת עקום אליפטי (ECC - Elliptic Curve Cryptography) : סוג של הצפנת מפתח ציבורי שמבוסס על עקומות אליפטיות. ECC (הצפנת עקום אליפטי) משתמשת במפתחות קטנים יותר ביחס להצפנה שאינה מבוססת עקום אליפטי תוך אספקת אבטחה ברמה דומה. Cloudflare - [ויקיפדיה](https://he. wikipedia. org/wiki/הצפנה_מבוססת_עקום_אליפטי)
הרחבה קריטית (Critical extension) : אישור יכול להכיל הרחבות שמסומנות כ„קריטיות”. משמעות הדבר היא שתכניות חייבות לדחות את האישור הזה אלא אם כן התכניות מבינות איך לעבד את ההרחבה הזאת. מאפשר להציג הרחבות חדשות שחשובות לאבטחה מבלי ליצור סיכונים לתכניות ישנות.
הרחבות אבטחה למערכת שמות תחום (DNSSEC - Domain Name System Security Extensions) : מנגנון לאימות קריפטוגרפי של תגובות DNS. DNSSEC דורש הטמעה על ידי TLDs (סיומות אינטרנט), בעלי שמות תחום ופותרים רקורסיביים כדי שיחול. האימוץ כרגע הוא די נמוך. ויקיפדיה
הרחבת אישור (Certificate extension) : באישורים, רוב השדות מוגדרים כהרחבות. למשל, Subject Alternative Names ו־AIA הן הרחבות. מנגנון ההרחבה מאפשר ליצור שדות חדשים שלא היו חלק מתקן X.509 המקורי.
הרשאה מבוססת DNS ליישויות שמיות (DANE - DNS-based Authentication of Named Entities) : מנגנון שמשתמש ב־DNS שמציין איך לוודא את האמינות של האישור או של מפתח ההצפנה שהוצג. ויקיפדיה
חובת שידוך OCSP (OCSP Must-Staple) : הרחבת אישור שמודיעה לדפדפן ששרת האינטרנט עם האישור הזה חייב להשתמש בשידוך OCSP. ההרחבה משמשת לדרוש שמצב שלילה עדכני של האישור יאומת על ידי שרת האינטרנט עם כל חיבור, מה שהופך את השלילה ליותר אמינה. ל־Let’s Encrypt יש אפשרות להנפיק אישורים עם הרחבת חובת שידוך OCSP לפי בקשה. בלוג האבטחה של Mozilla RFC 7633
חותמות זמן לאישורים חתומים (SCT - Signed Certificate Timestamp) : הבטחה חתומה וניתנת לאימות לפרסם אישור מתוך יומן שקיפות אישורים. דפדפנים שאוכפים בדיקת שקיפות אישורים בודקים נוכחות של חותמות זמן לאישורים חתומים, או בלחיצת היד TLS (אבטחה ברמת התעבורה) ומסרבים להתחבר לאתרים שלא עומדים בדרישות התיעוד שלהם ביומן. בדיקה זו מעלה את הסיכוי לזיהוי אישורים שנועדו לצורכי הונאה או שאינם מדויקים. https://www.certificate-transparency.org/how-ct-works
חתימה צולבת (Cross Signing) : על אישור לחתימה ניתן לחתום עם יותר מאישור עליון אחד. למשל, אישורי התווך של Let’s Encrypt חתומים באופן צולב גם על ידי IdenTrust, כיוון שבזמן ההשקה האישור העליון של Let’s Encrypt עדיין לא נחשב מהימן בעיני מאגרי אישורים. טכנית, ניתן לבצע זאת עם שני אישורי הנפקה, באמצעות אותו הנושא (Subject) ואותו צמד המפתחות (Key-pair), האחד חתום על ידי המפתח הפרטי של האישור העליון של Let’s Encrypt והשני חתום על ידי המפתח הפרטי של האישור העליון של IdenTrust: אישורים. ויקיפדיה
יומני שקיפות אישורים (Certificate Transparency Log) : רכיב בתוך שקיפות אישורים שמקבל הגשות של אישורים ואישורי קדם ומאגד אותם לכדי רשימה קבועה, ניתנת לאימות ונגישה לציבור.
לקוח ACME (ACME Client) : תכנית שיכולה לתקשר עם שרת ACME כדי לבקש אישור.
מאגר אישורים (Certificate Store) : מאגר אישורים מכיל רשימה של אישורים עליונים מהימנים. מערכות הפעלה (כגון Windows, Android או דביאן) ודפדפנים (כגון Firefox) מחזיקים מאגר אישורים. למעט הדפדפן הזה שאר הדפדפנים מסתמכים על מאגר האישורים של מערכת ההפעלה. אישורים שמסופקים על ידי Let’s Encrypt נחשבים מהימנים בעיני רוב מאגרי האישורים.
מדיניות אישורים (CP - Certificate Policy) : סדרה שמית של כללים שמציינים את יישימותו של אישור לקהילה ו/או מחלקה של יישומים מסוימים עם דרישות אבטחה משותפות. פרטים נקודתיים על הנפקה מפורטים תחת CPS (הכרזת מדיניות אישור). מדיניות האישורים של ISRG - RFC 3647 - ויקיפדיה
מזהה עצם (OID - Object identifier) : OIDs (מזהי עצמים) הם מזהים מספריים ייחודיים שתוקננו על ידי International Telecommunications Union (ITU - איגוד הטלקומוניקציה הבינלאומי) וגם על ידי ISO/IEC (ארגון התקינה הבינלאומי/הנציבות הבין-לאומית לאלקטרוטכניקה). במזהי עצמים נעשה שימוש בתוך אישורים כדי להגדיר הרחבות, שדות או קביעות מדיניות. תקני אינטרנט ומדיניות אישורים ומסמכי הצהרת מדיניות אישורים מגדירים את אופן השימוש במזהי עצמים. ויקיפדיה
מנוי (Subscriber) : האדם או הארגון שמבקשים אישור.
מנפיק האישור (Certificate issuer) : השדה „Issuer” (מנפיק) באישור שמתאר איזה אישור חתם עליו. למשל, שדה המנפיק (Issuer) באישור יישות קצה של Let’s Encrypt עשוי להיות „Issuer: C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3”. הוא בדרך כלל מכיל אישורים כגון Common Name (שם נפוץ), Country (מדינה) ו־Organization (ארגון). שדה המנפיק (Issuer) תמיד תואם לאיזשהו שדה Subject (נושא) באישור. לאישורים חתומים עצמית כגון אישורים עליונים, ה־Issuer תמיד זהה ל־Subject. המונח „מנפיק” יכול גם לציין אישורים שמנפיק אישורים אחרים (כגון אישור תווך או אישור עליון) או ארגון שמנפיק אישורים.
נושא אישור (Certificate subject) : השדה „Subject” (נושא) באישור מציין על מה האישור. הוא בדרך כלל מכיל שדות כגון Common Name (שם נפוץ), Country (מדינה), ו־Organization (ארגון).
נעיצת מפתח ציבורי עם HTTP (HPKP - HTTP Public Key Pinning) : מנגנון אבטחה שמבקש מהדפדפן לדרוש ששרשרת אישורים תשתמש במפתחות ציבוריים מסוימים בטעינות עתידיות. Chrome הציג את המנגנון הזה כדי להגן מפני חבלות מצד רשות האישורים אך זה גרם לתקלות גישה לאתרים, מה שהוביל את Chrome לצמצם את השימוש בו ולהסיר אותו. ויקיפדיה
סוכן משתמש (User Agent) : תכנית שמסוגלת לתקשר עם שרת אינטרנט. לדוגמה: דפדפן אינטרנט או cURL.
פורום דפדפנים/רשויות אישורים (CA/Browser Forum) : קבוצה התנדבותית של רשויות אישורים, יצרני דפדפני אינטרנט, מערכות הפעלה ויישומים נוספים שתומכים ב־PKI. פורום דפדפנים/רשויות אישורים מפרסם את דרישות היסוד. ארגון Let’s Encrypt חבר בפורום דפדפנים/רשויות אישורים. ויקיפדיה
ציון שם שרת (SNI - Server Name Indication) : שדה ששולח סוכן משתמש לשרת במהלך לחיצת יד TLS ומציין את שם התחום להתחבר אליו. מנגנון זה מאפשר לשרת לענות עם האישור הנכון כאשר מספר שמות תחום מתארחים מאחורי אותה כתובת IP. שרת האינטרנט עשוי לשלוח אישור אחר ולהציג תוכן אחר בהתאם לשרת שביקש הלקוח דרך SNI (ציון שם שרת). השדה SNI אינו מוצפן אבל חלופה ניסיונית בשם ESNI כן. ויקיפדיה
צמד מפתחות (Key-pair) : שילוב של מפתח פרטי וציבורים שמשמשים יחד לחתימה או להצפנה. המפתח הציבורי בדרך כלל מוטמע בתוך אישור, בעוד המפתח הפרטי מאוחסן בנפרד ויש לשמור עליו בסוד. צמד מפתחות יכול לשמש להצפנה ולפענוח, כדי לחתום ולאמת נתונים או כדי לשאת ולתת על מפתחות משניים, בהתאם ליישום. ויקיפדיה
קבוצת מחקר אבטחת האינטרנט (ISRG - Internet Security Research Group) : הארגון שמאחורי Let’s Encrypt: https://www.abetterinternet.org/about/. ויקיפדיה
קובץ PEM (.pem) (PEM file (.pem)) : סוג קובץ למידע מוצפן (במקור צוין כחלק מתוך ערכת תקני האינטרנט Privacy Enhanced Mail - דוא״ל עם פרטיות מורחבת לאבטחה של דוא״ל). מסמך PEM יכול לייצג מידע כגון מפתח פרטי, מפתח ציבורי או אישור דיגיטלי. קבצים אלו נפתחים ב־„-----BEGIN ” ואז סוג הנתונים. ויקיפדיה
קובצי החלפת פרטים אישיים (.pfx) (Personal Information Exchange Files (.pfx)) : קובץ שמכיל אישור עלה, את השרשרת שלו עד האישור העליון ואת המפתח הפרטי של אישור העלה. ניתן גם לקרוא את https://en.wikipedia.org/wiki/PKCS_12. מרכז פיתוח החומרה של Microsoft
רשויות אישורים מנפיקות (CA Issuers) : חלק מהשדה AIA שמכיל מידע על מנפיק האישור. עשוי להיות שימושי כאשר שרת האינטרנט לא סיפק שרשרת אישורים מהימנה.
רשומת שם קנוני (CNAME - Canonical Name record) : רשומת DNS שממפה שם תחום אחד לאחר, נקראת שם קנוני. ויקיפדיה
רשות אישורים (CA - Certificate Authority) : ארגון שמנפיק אישורים. Let’s Encrypt, IdenTrust, Sectigo ו־DigiCert הן רשויות אישורים. ויקיפדיה
רשימת אישורים שנשללו (CRL - Certificate Revocation List) : שיטה ליידע את סוכני המשתמש על מצב שלילת אישור. זו רשימת המספרים הסידוריים של כל האישורים שנשללו על ידי רשות אישורים מסוימת ונחתמו קודם על ידיה. ויקיפדיה
רשימת סיומות ציבורית (PSL - Public Suffix List)
: רשימה של סיומות ציבוריות שמתוחזקת על ידי Mozilla ומציינת אילו שמות תחום באינטרנט זמינים לטובת יישויות שונות כדי לרשום תת־מתחמים. למשל, הרשימה מציינת שגם com
וגם co.uk
הן סיומות ציבוריות למרות ש־co.uk
אינו שם תחום עליון. דפדפנים משתמשים ברשימה הזאת, לצד מקורות נוספים, כדי למנוע מאתרים שכפי הנראה מופעלים על ידי יישויות שונות לשתף ביניהם עוגיות. Let’s Encrypt משתמשת ברשימה גם כדי לחשב מגבלת מיכסות: מגבלת-מיכסות. https://publicsuffix.org/
שידוך פרוטוקול מצב אישורים מקוון (OCSP stapling) : דרך לשרת האינטרנט לשלוח לדפדפן תגובת OCSP שחתומה על ידי רשות אישורים, כדי שהדפדפן עצמו לא יצטרך לבצע בקשת OCSP (פרוטוקול מצב אישור מקוון) משנית אל רשות האישורים, מציג שיפור במהירות ובפרטיות. מוכר גם בתור הרחבת בקשת מצב אישור TLS. ויקיפדיה Cloudflare
שלילה (Revocation) : אישור תקף עד למועד תפוגת תוקפו, אלא אם כן רשות האישורים מכריזה שהוא נשלל. האישור עשוי להישלל ממגוון סיבות כגון פגיעה במפתח הפרטי. דפדפנים יכולים לבדוק אם אישור נשלל בעזרת CRL, OCSP או שיטות חדשות יותר כגון OneCRL ו־CRLSets. כדאי לשים לב שבמקרים רבים, שלילה לא עובדת. /docs/revoking
שם חלופי לנושא (SAN - Subject Alternative Name) : שדה באישור שמציין על איזה שם תחום או על אילו שמות תחום האישור תקף. מחליף את השימוש ב־Common Name (שם נפוץ), שמסופק כעת מטעמי תאימות בלבד. אישור בודד יכול להכיל מספר SANs ולהיות תקף למספר שמות תחום שונים. ויקיפדיה https://letsencrypt.org/docs/rate-limits/#names-per-certificate
שם נפוץ (CN - Common Name) : חלק מהנושא (Subject) של האישור שמסביר מה טיב האישור. עבור אישורים עליונים ואישורי תווך מדובר בשם של רשות האישורים שגם בני אדם יכולים להבין. עבור אישורי עלה זה אחד משמות התחום שבאישור. נא לשים לב: השם הנפוץ מוגבל ל־63 תווים. זו שיטה מיושנת לציון שם התחום עליו חל האישור מאחר שהתקנים העדכניים באינטרנט מצפים מצד התכנה לבדוק רק את Subject Alternative Names (שמות נושא חלופיים) כדי לקבוע את ישימות האישור.
שם תחום מלא (FQDN - Fully qualified domain name)
: שם התחום המלא של אתר. למשל, www.example.com
הוא FQDN (שם תחום מלא).
שם תחום תואם בינאום (IDN - Internationalized Domain Name)
: שם תחום עם תווים מחוץ לטווח של a
עד z
, 0
עד 9
ומינוס (-
). השמות יכולים להכיל תווים עבריים, ערביים, סיניים, טמילים, קיריליים או מבוססי לטיניים עם סימנים סובבי תו או ליגטורות. הייצוג המקודד של שמות תחום תואמי בינאום מתחיל ב־xn--
. ב־Let’s Encrypt קיימת תמיכה בשמות תחום תואמי בינאום: https://letsencrypt.org/2016/10/21/introducing-idn-support.html. ויקיפדיה - RFC 5890 - RFC 5891
שמות תחום עליונים (TLD - Top-Level Domain)
: הרמה הגבוהה ביותר במערכת שמות התחום, כגון שמות תחום עליונים לפי קוד מדינה (ccTLDs) כגון .il
(ישראל), .cn
(סין) ושמות תחום עליונים כלליים (gTLDs) כגון .com
, .org
. ויקיפדיה
שמות תחום תואמי בינאום ליישומים (IDNA - Internationalized Domain Names for Applications) : להלן שמות תחום תואמי בינאום.
שקיפות אישורים (CT - Certificate Transparency) : כדי לשפר את האבטחה, יש לפרסם אישורים (או קדם אישורים) ליומני שקיפות אישורים: https://www.certificate-transparency.org/. מערכת Let’s Encrypt מייצרת ומפרסמת אישורי קדם וכוללת באישור העוקב רשימה של SCTs (חותמות זמן של אישור חתום) עבור אישור הקדם. חלק מהדפדפנים, כגון Chrome מבית Google, דורש את נוכחותה של הבטחה זו שניתן לאמת כדי לתקף את האישור. ויקיפדיה
שרשרת אישורים (Certificate chain) : רשימה של אישורי תווך שמסייעים לסוכן משתמש לקבוע שיוכל לתת אמון ביישות קצה או באישור עלה, על ידי חיבורו אל אישור עליון במאגר האישורים שלו. נא לשים לב: השרשרת אינה תמיד ייחודית וכאשר אתר מציג שרשרת אישורים שמובילה לאישור עליון אחד, סוכן המשתמש עשוי להחליט להשתמש בשרשרת אחרת כדי לתקף את האישור. ויקיפדיה
שרת ACME (ACME Server) : שרת תואם ACME שיכול לייצר אישורים. התכנית שלLet’s Encrypt, Boulder, היא תואמת ACME עם מספר שינויים קלים.
שרת אינטרנט (Web server) : תכנית שמגישה עמודי אינטרנט (או, בהתאם לסיומת, את החומרה של השרת שמעארח אותה). ויקיפדיה
תוכן מעורב (Mixed content) : כאשר עמוד HTTPS טוען תת־משאבים (Javascript, CSS או תמונות) על גבי HTTP. דפדפנים עשויים לחסום תוכן מעורב או לסמן את העמוד הזה כפחות מאובטח כאשר קיים תוכן מעורב: https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content. כדי לתקן בעיית תוכן מעורב, על גורם פיתוח האתר להחליף את העמודים שלהם כדי שכל המשאבים יהיו בכתובות HTTPS. כלי מפתחים שמובנים בתוך הדפדפנים עשויים לשמש כדי לאתר אילו משאבים גורמים לבעיית התוכן המעורב.
תיקוף ארגון (OV - Organization Validation) : אישורים שעבורם רשות אישורים אימתה את היישות המשפטית של המנוי. הם מכילים מידע על היישות הזאת. Let’s Encrypt אינה מציעה אישורי OV. ויקיפדיה
תיקוף מורחב (EV - Extended Validation) : סוג של תיקוף אישור שעבורו רשות האישורים אימתה את היישות המשפטית ששולטת באתר. הם מכילים מידע על היישות הזאת. הפקדים מרשות האישורים הם יותר מחמירים עבור אישורי OV. Let’s Encrypt אינה מציעה אישורי EV. ויקיפדיה
תכנית עליונה (Root Program) : מסמכי המדיניות בהן משתמש ארגון כדי להחליט אילו אישורים לכלול במאגר המהימנות ולפיכך להחליט אילו רשויות אישורים נחשבות מהימנות על ידי התכנה שלו.