Let's Encrypt
ISRG celebrates 10 years of helping build a brighter Internet →

Ліміт частот

Останнє оновлення: | Переглянути всю документацію

Let’s Encrypt передбачає ліміт частот, щоб забезпечити справедливе використання найбільшою кількістю людей. Ми вважаємо, що ці ліміти частот є достатньо високі для того, щоб працювати за замовчуванням для багатьох людей. Також, ми розробили їх так, щоб оновити сертифікати і ніколи не перевищувати ліміт частот, тому великі організації можуть поступово збільшувати кількість сертифікатів, які можуть видаватись без затвердження Let’s Encrypt.

Якщо Ви клієнт, який активно розробляє та тестує Let’s Encrypt, просимо використовувати наш простір для тестувань замість виробництва API. Якщо Ви працюєте з інтеграцією Let’s Encrypt, як постачальник, або з великим сайтом, будь ласка, перегляньте наш посібник з інтеграції.

Основне обмеження - кількість сертифікатів на зареєстрований домен(50 на тиждень). Як правило, зареєстрований домен є частиною домену, який Ви придбали з Вашого реєстратора доменних імен. Наприклад, в імені www.example.com, зареєстрованим доменом є example.com. У new.blog.example.co.uk, зареєстрваним доменом є example.co.uk. Ми використовуємо Список публічних суфіксів, щоб розрахувати зареєстрований домен. Перевищення сертифікатів на зареєстрований домен повідомляється через помилкове повідомлення забагато виданих серттифікатів, можливо з додатковими деталями.

Якщо Ви маєте багато піддоменів, Ви можете об’єднати їх в один домен, обмеження 100 імен на сертифікат. Об’єднання з перевищеним лімітом означає, що Ви можетевидавати сертифікати, які містять до 5000 унікальних піддоменів на тиждень. Сертифікати з кількома ім’ями часто називаються SAN сертифікат, інколи UCC сертифікат. Примітка: Для продуктивності та причин надійності краще використовувати менше імен для кожного сертифікату, якщо це можливо.

Поновлення приймаються особливо: вони не враховуються з Вашими Сетрифікатами за реєстрованим доменом, але є підлягають дублікуючому сертифікату з лімітом 5 на тиждень. Примітка: поновлення враховувались до Вашого сертифікату за реєстрованим доменом до березня 2019 року,, але тепер не враховуються.. Перевищення ліміту дублікатів сертифікатів повідомляється повідомленням про помилкузабагато сертифікатів вже видано для точного переліку доменів.

Сертифікат розглядається як оновлення (чи дублікат) попереднього сертифікату, якщо він містить такий ж набір хостів, ігнорує капіталізацію та упорядкування хостів. Наприклад, якщо Ви запросили сертифікат для імен [www.example.com, example.com], Ви можете запросити ще 4 сертифікати для [www.example.com, example.com] протягом тижня. Якщо Ви змінили перелік хостів додаючи [blog.example.com], Ви можете запросити додаткові сертифікати.

Оновлення обробки ігнорує публічний доступ та запити на розширення. Видача сертифікату може розглядатись, як оновлення навіть якщо Ви використовуєте новий ключ.

** Видалені сертифікати не скидають ліміт частот** тому, що ресурси використані для видачі тих сертифікатів вже були використані.

Існує Помилка при перевірці ліміт - 5 помилок на облікови запис, на хост, на годину. Це обмеження є вищим на нашому середовищі для тестування, тому Ви можете використовувати це середовище для налагодження проблем з’єднання. Перевищення помилок при перевірці повідомляється повідомленням про помилкузабагато нещодавних невдалих авторизацій.

Символи “new-nonce”, “new-account”, “new-order” та “revoke-cert” кінцевих точок на API мають ** всі запити** ліміт - 20 на секунду. Кінцева точка “/directory” та каталог “/acme”& підкаталоги мають ліміт всіх запитів - 40 запитів на секунду.

Ми маємо ще два обмеження з якими Ви будете не раді зіткнутись.

Ви можете створити 10 облікових записівна IP адресу ** на 3 години. Ви можете створити максимум 500 облікових записів на діапазон IP** в межах IPv6/48 на 3 години. Створення будь-якої кількості рахунків є дуже рідкісним, і ми рекомендуємо великим інтергаціям обирати створення та використання одного облікового запису для багатьох клієнтів. Перевищення цих обмеження повідомляється повідомленням про помилкузабагато реєстрацій на цей IPабозабагато реєстрацій на цей діапазон IP.

На Вашому обліковому записі може бути максимум 300очікуючих авторизацій. Перевищення цього обмеження є рідкісним, і часто трапляється при розробці ACME клієнтів. Зазвичай, це означає, що Ваш клієнт створює авторизації, але не виконує їх. Будь ласка, використовуйте нашесередовище для тестувань, якщо Ви розробляєте ACME клієнта. Перевищення ліміту авторизацій повідомляється повідомленням про помилкузабагато нещодавних невдалих авторизацій.

Ви можете створити максимум 300 ** нових замовлень** на обліковий запис, на 3 години. Нове замолвення створюється кожного разу, як Ви надсилаєте запит на сертифікат від Центру Сертифікації Boulder, це означає, що одне нове замовлення генерується в кожному запиті на сертифікат. Перевищення ліміту нових замовлень повідомляється повідомленням про помилку забагато нещодавних нових замовлень.

Зміни

Якщо Ви перевищили ліміт, ми не маємо способу, щоб тимчасово скинути його. Вам потрібно буде почекати поки закінчиться термін дії ліміту протягом тижня. Ми використовуємо ковзання віконця, тому якщо Ви випустили 25 сертифікатів у понеділок і ще 25 сертифікатів у п’ятницю, то Ви зможете випускати їх знову в понеділок. Ви можете отримати список сертифікатів, які випущені для Вашого зареєстрованого домену за допомогою searching on crt.sh, який використовує публічні центри сертифікаціїлоги.

Якщо Ви великий хост-провайдер або організація, що працює над інтеграцією Let’s Encrypt, ми маємо форму ліміту яку можна використати, щоб запросити вищий ліміт частот. Обробка запиту займає декілька тижнів, тому ця форма не підходить Вам, якщо Вам просто потрібно скинути ліміт скоріше, ніж він скинеться сам.

Зверніть увагу, що більшість хост-провайдерів не потребують збільшення ліміту тому, що немає ліміту кількості різних зареєстрованих доменів для яких ви можете випустити сертифікати. Тому поки більшість Ваших клієнтів не мають більше ніж 2000 піддоменів на зареєстрованому домені, Вам, швидше за все, не потрібно збільшувати ліміт. Перегляньте наш посібник з інтеграції для додаткових порад.

Очищення очікуючих авторизацій

Якщо Ви маєте багато очікуючих авторизацій і отримуєте помилки про перевищення ліміту, то Ви маєте змогу спробувати викликати перевірку тих авторизованих об’єктів, вивівши підписані JWS POST до однієї з перешкод, як описано в специфікації ACME. Очікуючі об’єкти авторизації представлені URL-адресою форми https://acme-v02.api.letsencrypt.org/acme/authz/XYZ, і мають з’явитись у журналах Вашого клієнта. Зауважте. що неважливо чи перевірка вдалась чи провалилась. Або викине авторизацію поза станом “очікуюча”. Якщо Ви не маєте журналів, які містять відповідну URL-адресу авторизації, то Вам потрібно зачекати до закінчення дії обмеження. Як описано вище, тут є ковзаючі віконця, тому це може зайняти менше, ніж тиждень, залежно від вашої проблеми.

Зауважте, що велика кількість очікуючих авторизацій, зазвичай, є результатом помилки клієнта. Якщо Ви перевищуєте ліміт часто, то варто двічі перевіряти код Вашого клієнта.