ISRG celebrates 10 years of helping build a brighter Internet →

Bizalmi lánc

Utoljára frissítve:

ISRG Certificate Hierarchy Diagram, as of December 2020

Gyökértanúsítványok

Gyökértanúsítvánainkat biztonságos módon offline tároljuk. Végfelhasználói tanúsítványokat állítunk ki előfizetőknek köztes tanúsító hatóságtól a következő szakaszban. A további kompatibilitás érdekében, mivel az új Root X2-t különböző root programokhoz nyújtjuk be, a Root X1-el szintén kereszttanúsítottuk.

Weboldalakat hoztunk létre, hogy teszteljük az aktív root-okhoz láncolt tanúsítványokat.

Köztes tanúsítványok

Normál körülmények között a Let’s Encrypt által kiadott tanúsítványok az “R3”-tól, egy RSA közvetítőtől származnak. Jelenleg az “E1”-ről, egy ECDSA közbenső kulcsról történő kiadás csak az engedélyezett fiókok ECDSA előfizetői kulcsaihoz lehetséges. A jövőben az “E1” kibocsátása mindenki számára elérhető lesz.

Más közvetítőinket (“R4” és “E2”) katasztrófa utáni helyreállításra tartjuk fenn, és csak akkor használjuk őket, ha elveszítjük az elsődleges közvetítőink kibocsátási képességét. Már nem használjuk az X1, X2, X3 és X4 közvetítőket.

Az IdenTrust a további kompatibilitás érdekében kereszttanusította a közbenső RSA-t.

Kereszttanúsítás

Köztes tanúsítványok

Minden egyes köztes tanúsítvány egyetlen publikus/privát kulcs párként van reprezentálva. Ennek a párnak a magánkulcsa generálja az aláírást az összes végponti tanúsítványhoz (más néven levéltanúsítványokhoz), azaz a szerveren való használatra kiállított tanúsítványokhoz.

RSA közvetítőinket az ISRG Root X1 írja alá. Az ISRG Root X1 jelenleg széles körben megbízható, de az RSA közvetítőinket továbbra is az IdenTrust “DST Root CA X3” keresztaláírással látja el (mostantól “TrustID X3 Root”) a további ügyfél-kompatibilitás érdekében. Az IdenTrust gyökér régebb óta létezik, ezért jobb kompatibilitással rendelkezik a régebbi eszközökkel és operációs rendszerekkel (pl. Windows XP, Android 7). A “TrustID X3 Root” letölthető az IdenTrusttól (vagy letölthet egy példányt tőlünk).

A kereszttanúsítások azt jelentik, hogy minden egyes RSA közvetítőnknek két tanúsítványa van, amelyek ugyanazt az aláíró kulcsot képviselik. Az egyiket a DST Root CA X3, a másikat pedig az ISRG Root X1 írta alá. A legegyszerűbben a kibocsátó mező alapján lehet megkülönböztetni a kettőt.

A webszerver konfigurálásakor a szerver üzemeltetője nemcsak a végponti tanúsítványt konfigurálja, hanem a közvetítők listáját is, hogy a böngészők ellenőrizhessék, hogy a végponti tanúsítvány rendelkezik-e egy megbízható gyökértanúsítványhoz vezető bizalmi lánccal. Szinte minden szerverüzemeltető úgy dönt, hogy egy olyan láncot szolgáltat ki, amely tartalmazza az “R3” alanyú és “ISRG Root X1” kiállítójú közbenső tanúsítványt. Az ajánlott Let’s Encrypt kliensszoftver, a Certbot, zökkenőmentesen elvégzi ezt a konfigurációt.

Gyökértanúsítványok

A köztes tanúsítványokhoz hasonlóan a gyökértanúsítványok is lehetnek kereszttanúsítottak, gyakran a kliens-kompatibilitás növelése érdekében. A mi ECDSA root-unk, az ISRG Root X2 2020 őszén készült, és ez az ECDSA-hierarchia gyökértanúsítványa. Két tanúsítvány képviseli: egy saját aláírású és egy az ISRG Root X1 által aláírt tanúsítvány.

Az “E1” ECDSA közbenső tanúsítvány által aláírt összes tanúsítvány egy olyan láncot tartalmaz, amely tartalmaz egy közbenső tanúsítványt, amelynek tárgya “ISRG Root X2” és kiállítója “ISRG Root X1”. Szinte minden szerverüzemeltető ezt a láncot fogja választani, mivel ez kínálja a legnagyobb kompatibilitást, amíg az ISRG Root X2-ben széles körben megbíznak.

OCSP aláírási tanúsítvány

Ez a tanúsítvány a Let’s Encrypt hatóság közvetítőinek OCSP válaszainak aláírására szolgál, így a válaszok aláírásához nem kell a gyökérkulcsot online állapotba hozni. Az OCSP válaszok automatikusan tartalmazzák ennek a tanúsítványnak a másolatát, így az előfizetőknek nem kell vele semmit sem kezdeniük. Csak tájékoztató jelleggel szerepel itt.

Az újabb köztes tanúsítóink nem rendelkeznek OCSP URL címekkel (a visszavonási információikat ehelyett CRL-en keresztül szolgáltatják), ezért nem állítottunk ki OCSP aláírási tanúsítványt az ISRG Root X2-től.

Certificate Transparency

Elkötelezettek vagyunk az átláthatóság iránt a működésünk és az általunk kibocsátott tanúsítványok tekintetében is. Minden tanúsítvány bekerül a tanúsítványok átláthatósági naplójába (Certificate Transparency logs), amint kiállítjuk őket. Az összes kiadott Let’s Encrypt tanúsítványt ezeken a linkeken keresztül tekintheti meg: