ISRG celebrates 10 years of helping build a brighter Internet →

Ланцюг довіри

Останнє оновлення:

ISRG Certificate Hierarchy Diagram, as of December 2020

Кореневий сертифікат

Наше коріння зберігається в безпеці поза мережею. Ми видамо сертифікати кінцевої сутності підпісникам проміжного рівня у наступному розділі. Для додаткової сумісності, так як ми подаємо наш новий Root X2 у різноманітних кореневих програмах, ми схрестили його з Root X1.

Ми створили веб -сайти для тестування сертифікатів, приєднаних до наших активних коренів.

Проміжні сертифікати

За звичайних обставин, сертифікати, видані Let’s Encrypt, надходитимуть від “R3”, проміжного продукту RSA. Наразі видача з “E1”, посередника ECDSA, можлива лише для відповідейдозволених акаунтів В майбутньому видача від “E1” буде доступна для кожного.

Інші наші проміжні продукти (“R4” та “E2”) зарезервовані для ліквідації наслідків катастрофи і будуть використовуватися лише в разі втрати можливості спілкування з нашими первинними проміжними продуктами. Ми не використовуємо X1, X2, X3 та X4 більше проміжних продуктів.

IdenTrust підписав наші проміжні продукти RSA для додаткової сумісності.

Перехресне підписання

Проміжні речі

Кожен з наших середніх (проміжних) продуктів представляє єдину публічну/приватну пару відповідей. Приватна відповідь цієї пари генерує підпис для всіх кінцевих сертифікатів (також відомих як листові (паперові) сертифікати), тобто сертифікати, які ми видаємо для використання на вашому сервері.

Наші RSA проміжні речі підписані ISRG Root X1. ISRG Root X1 є досить довіряючий як правило, але наші проміжні продукти RSA все ще схрещені компанією IdenTrustDST Root CA X3"(зараз називається “TrustID X3 Root”) для додаткової сумісності клієнтів. IdenTrust root існує довше і тому має кращу сумісність зі старими пристроями та операційними системами (e.g. Windows XP, Android 7). Ти можешзавантажити “TrustID X3 Root” з IdenTrust (or, замість цього, ти можеш завантажити копію від нас).

Маючи значення перехресних підписів, що кожен з наших RSA проміжних продуктів має два сертифікати, що представляють одну і ту ж розгадку підпису. Один підписаний DST Root ЦС X3, а інший підписаний ISRG Root X1. Найлегший спосіб розрізнити два це дивитися на поле видавця.

При налаштуванні веб -сервера оператор сервера налаштовує не тільки сертифікат кінцевої сутності, а також список проміжних продуктів, які допоможуть браузерам перевірити, що сертифікат кінцевої сутності має ланцюжок довіри, що веде до надійності сертифікату. Майже всі оператори серверів вирішать обслуговувати ланцюг, у тому числі проміжний сертифікат з предметом “R3” і видавцем “ISRG Root X1”. Рекомендація клієнта програмного забезпечення Let’s Encrypt бот комп’ютерної допомогизробить конфігурацію без проблем.

Корені

Подібно до проміжних продуктів, сертифікати можуть бути перехресними, часто для збільшення сумісності клієнта. Наш корінь ECDSA, ISRG Root X2 був створений восени 2020 року і є коренем сертифікату для ієрархії ECDSA. Він представлений двома сертифікатами: одним, який є самопідписаним і той, який підписаний ISRG Root X1.

Усі сертифікати, підписані проміжним ECDSA “E1”, будуть поставлені з ланцюжком, включаючи проміжний сертифікат, предметом якого є “ISRG Root X2”, а емітентом - “ISRG Root X1”. Майже всі оператори серверів вирішать обслуговувати цей ланцюжок, оскільки він пропонує найбільшу сумісність до ISRG Root X2, який користується широкою довірою.

OCSP Підписання Сертифікатів

Цей сертифікат використовується для підпису відповідей OCSP для Центру Let’s Encrypt проміжних продуктів, тому нам не потрібно виводити початкову відповідь з метою записати ці відповіді. Копія цього сертифіката автоматично включає відповіді OCSP, тому підписникам не потрібно нічого з цим робити. Це подається тут лише з метою інормації.

Наші новіші проміжні не мають OCSP URLs (інформація про їх відкликання надається через CRL), тому ми не видавали сертифікат підписання OCSP від ​​ISRG Root X2.

Прозорість сертифіката

Ми прагнемо до прозорості у своїй діяльності та в виданих нами сертифікатах. Ми подаємо всі сертифікати до Журнали прозорості сертифікатівколи ми їх видаємо. Ти можеш переглянути всі видані Let’s Encrypt сертифікати за допомогою цих посилань: