Utoljára frissítve:
Gyökértanúsítványok
Gyökértanúsítvánainkat biztonságos módon offline tároljuk. Végfelhasználói tanúsítványokat állítunk ki előfizetőknek köztes tanúsító hatóságtól a következő szakaszban. A további kompatibilitás érdekében, mivel az új Root X2-t különböző root programokhoz nyújtjuk be, a Root X1-el szintén kereszttanúsítottuk.
- Aktív
- Aktív, korlátozott elérhetőség
Weboldalakat hoztunk létre, hogy teszteljük az aktív root-okhoz láncolt tanúsítványokat.
- ISRG Root X1
- ISRG Root X2
Köztes tanúsítványok
Normál körülmények között a Let’s Encrypt által kiadott tanúsítványok az “R3”-tól, egy RSA közvetítőtől származnak. Jelenleg az “E1”-ről, egy ECDSA közbenső kulcsról történő kiadás csak az engedélyezett fiókok ECDSA előfizetői kulcsaihoz lehetséges. A jövőben az “E1” kibocsátása mindenki számára elérhető lesz.
Más közvetítőinket (“R4” és “E2”) katasztrófa utáni helyreállításra tartjuk fenn, és csak akkor használjuk őket, ha elveszítjük az elsődleges közvetítőink kibocsátási képességét. Már nem használjuk az X1, X2, X3 és X4 közvetítőket.
Az IdenTrust a további kompatibilitás érdekében kereszttanusította a közbenső RSA-t.
- Aktív
- Let’s Encrypt R3 (
RSA 2048, O = Let's Encrypt, CN = R3
)- ISRG Root X1 által aláírt: der, pem, txt
- IdenTrust által kereszttanúsítva: der, pem, txt (visszavonult)
- Let’s Encrypt R3 (
- Aktív, korlátozott elérhetőség
- Let’s Encrypt E1 (
ECDSA P-384, O = Let's Encrypt, CN = E1
)
- Let’s Encrypt E1 (
- Backup
- Let’s Encrypt R4 (
RSA 2048, O = Let's Encrypt, CN = R4
)- ISRG Root X1 által aláírt: der, pem, txt
- IdenTrust által kereszttanúsítva: der, pem, txt (visszavonult)
- Let’s Encrypt E2 (
ECDSA P-384, O = Let's Encrypt, CN = E2
)
- Let’s Encrypt R4 (
- Visszavonult
- Let’s Encrypt Authority X1 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X1
) - Let’s Encrypt Authority X2 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X2
) - Let’s Encrypt Authority X3 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X3
) - Let’s Encrypt Authority X4 (
RSA 2048, O = Let's Encrypt, CN = Let's Encrypt Authority X4
)
- Let’s Encrypt Authority X1 (
Kereszttanúsítás
Köztes tanúsítványok
Minden egyes köztes tanúsítvány egyetlen publikus/privát kulcs párként van reprezentálva. Ennek a párnak a magánkulcsa generálja az aláírást az összes végponti tanúsítványhoz (más néven levéltanúsítványokhoz), azaz a szerveren való használatra kiállított tanúsítványokhoz.
RSA közvetítőinket az ISRG Root X1 írja alá. Az ISRG Root X1 jelenleg széles körben megbízható, de az RSA közvetítőinket továbbra is az IdenTrust “DST Root CA X3” keresztaláírással látja el (mostantól “TrustID X3 Root”) a további ügyfél-kompatibilitás érdekében. Az IdenTrust gyökér régebb óta létezik, ezért jobb kompatibilitással rendelkezik a régebbi eszközökkel és operációs rendszerekkel (pl. Windows XP, Android 7). A “TrustID X3 Root” letölthető az IdenTrusttól (vagy letölthet egy példányt tőlünk).
A kereszttanúsítások azt jelentik, hogy minden egyes RSA közvetítőnknek két tanúsítványa van, amelyek ugyanazt az aláíró kulcsot képviselik. Az egyiket a DST Root CA X3, a másikat pedig az ISRG Root X1 írta alá. A legegyszerűbben a kibocsátó mező alapján lehet megkülönböztetni a kettőt.
A webszerver konfigurálásakor a szerver üzemeltetője nemcsak a végponti tanúsítványt konfigurálja, hanem a közvetítők listáját is, hogy a böngészők ellenőrizhessék, hogy a végponti tanúsítvány rendelkezik-e egy megbízható gyökértanúsítványhoz vezető bizalmi lánccal. Szinte minden szerverüzemeltető úgy dönt, hogy egy olyan láncot szolgáltat ki, amely tartalmazza az “R3” alanyú és “ISRG Root X1” kiállítójú közbenső tanúsítványt. Az ajánlott Let’s Encrypt kliensszoftver, a Certbot, zökkenőmentesen elvégzi ezt a konfigurációt.
Gyökértanúsítványok
A köztes tanúsítványokhoz hasonlóan a gyökértanúsítványok is lehetnek kereszttanúsítottak, gyakran a kliens-kompatibilitás növelése érdekében. A mi ECDSA root-unk, az ISRG Root X2 2020 őszén készült, és ez az ECDSA-hierarchia gyökértanúsítványa. Két tanúsítvány képviseli: egy saját aláírású és egy az ISRG Root X1 által aláírt tanúsítvány.
Az “E1” ECDSA közbenső tanúsítvány által aláírt összes tanúsítvány egy olyan láncot tartalmaz, amely tartalmaz egy közbenső tanúsítványt, amelynek tárgya “ISRG Root X2” és kiállítója “ISRG Root X1”. Szinte minden szerverüzemeltető ezt a láncot fogja választani, mivel ez kínálja a legnagyobb kompatibilitást, amíg az ISRG Root X2-ben széles körben megbíznak.
OCSP aláírási tanúsítvány
Ez a tanúsítvány a Let’s Encrypt hatóság közvetítőinek OCSP válaszainak aláírására szolgál, így a válaszok aláírásához nem kell a gyökérkulcsot online állapotba hozni. Az OCSP válaszok automatikusan tartalmazzák ennek a tanúsítványnak a másolatát, így az előfizetőknek nem kell vele semmit sem kezdeniük. Csak tájékoztató jelleggel szerepel itt.
- ISRG Root OCSP X1 (ISRG Root X1 által aláírt): der, pem, txt
Az újabb köztes tanúsítóink nem rendelkeznek OCSP URL címekkel (a visszavonási információikat ehelyett CRL-en keresztül szolgáltatják), ezért nem állítottunk ki OCSP aláírási tanúsítványt az ISRG Root X2-től.
Certificate Transparency
Elkötelezettek vagyunk az átláthatóság iránt a működésünk és az általunk kibocsátott tanúsítványok tekintetében is. Minden tanúsítvány bekerül a tanúsítványok átláthatósági naplójába (Certificate Transparency logs), amint kiállítjuk őket. Az összes kiadott Let’s Encrypt tanúsítványt ezeken a linkeken keresztül tekintheti meg: