Luottamuksen ketju

Viimeksi päivitetty:

Huomioi: Englanninkielinen versio on muuttunut käännöksen jälkeen () Näytä englanniniksi

ISRG Certificate Hierarchy Diagram, as of December 2020

Juuri-varmenteet

Meidän juuret pidetään turvallisesti pois verkosta. Myönnämme loppukäyttäjän varmenteita välimiehiltä seuraavasta osiosta tilaajille. Yhteensopivuuden lisäämiseksi lähettäessämme uuden Root X2:n useisiin juuriohjelmiin, olemme myös ristiinallekirjoittaneet sen Root X1:stä.

Olemme asettaneet verkkosivustot testaamaan varmenteiden ketjutusta aktiivisiin juurimme saakka.

Välilliset varmenteet

Tavanomaisissa olosuhteissa Let’s Encryptin myöntämät varmenteet ovat peräisin “R3”:sta, RSA-välilliseltä. Tällä hetkellä, myöntäminen ’E1’:ltä, eräs ECDSA-välillinen, on mahdollista ainoastaan sallittujen tilien ECDSA-tilaajaavaimille. Tulevaisuudessa myöntäminen ‘E1’:ltä on kaikkien saatavilla.

Muut välillisemme (“R4” ja “E2”) on varattu katastrofipalautukseen, ja niitä käytetään vain, jos menetämme myöntämiskyvyn ensisijaisilla välillisillämme. Emme enää käytä X1, X2, X3 ja X4 välituotteita.

IdenTrust on allekirjoittanut RSA-välillisemme yhteensopivuuden lisäämiseksi.

Ristiinallekirjoitus

Välilliset

Jokainen välillisemme edustaa yhtä julkista/yksityistä avainparia. Tämän parin yksityinen avain luo allekirjoituksen kaikille loppuyksikön varmenteille (tunnetaan myös lehtivarmenteina), eli varmenteille, jotka myönnämme käytettäväksi palvelimellasi.

Meidän RSA-välillisiä ovat allekirjoittaneet ISRG Root X1. ISRG Root X1:een luotetaan tässä vaiheessa laajalti, mutta RSA-välillisemme on edelleen allekirjoittanut IdenTrustin “DST Root CA X3 -sovelluksella. (tällä hetkellä nimeltään “TrustID X3 Root”) asiakasyhteensopivuuden lisäämiseksi. IdenTrust-juuri on ollut olemassa pidempään ja sillä on siten parempi yhteensopivuus vanhempien laitteiden ja käyttöjärjestelmien kanssa (esim. Windows XP, Android 7). Voit ladata “TrustID X3 Root” IdenTrustista (tai vaihtoehtoisesti [lataa kopio meiltä](/certs/trustid -x3-root.pem.txt)).

Ristiinallekirjoituksen olemassa olo tarkoittaa, että jokaisella RSA-välillisellämme on kaksi samaa allekirjoitusavainta edustavaa varmennetta. Yksi on allekirjoittanut DST Root CA X3 ja toinen on allekirjoittanut ISRG Root X1. Helpoin tapa erottaa nämä kaksi on katsoa niiden myöntäjän kenttää.

Kun määrität verkkopalvelinta, palvelimen operaattori konfiguroi loppuyksikön varmenteen lisäksi luettelon välillisistä, jotka auttavat verkkoselaimia varmistamaan, että loppuyksikön varmenteella on luotettuun juurivarmenteeseen johtava luottamusketju. Melkein kaikki palvelinoperaattorit valitsevat ketjun, joka sisältää välivarmenteen, jonka aihe on “R3” ja myöntäjä “ISRG Root X1”. Suositeltu Let’s Encrypt asiakasohjelmisto, Certbot, tekee tästä kokoonpanosta saumattomasti.

Juuret

Kuten välilliset, juurivarmenteita voidaan ristiinallekirjoittaa, usein asiakkaiden yhteensopivuuden lisäämiseksi. ECDSA-juuremme, ISRG Root X2, luotiin syksyllä 2020 ja on ECDSA-hierarkian juurivarmenne. Sitä edustaa kaksi varmennetta: toinen on itseallekirjoitettu ja toinen ISRG Root X1:n allekirjoittama.

Kaikki ECDSA-välillisen “E1” allekirjoittamat varmenteet toimitetaan ketjulla, joka sisältää välivarmenne, jonka aihe on “ISRG Root X2” ja jonka myöntäjä on “ISRG Root X1”. Melkein kaikki palvelinoperaattorit valitsevat tämän ketjun palvelemisen, koska se tarjoaa parhaan yhteensopivuuden, kunnes ISRG Root X2:een luotetaan laajalti.

OCSP-allekirjoitusvarmenne

Tätä varmennetta käytetään OCSP-vastausten allekirjoittamiseen Let’s Encrypt Authority -välillisille, jotta meidän ei tarvitse tuoda juuriavainta verkkoon näiden vastausten allekirjoittamista varten. Kopio tästä varmenteesta sisältyy automaattisesti näihin OCSP-vastauksiin, joten tilaajien ei tarvitse tehdä mitään sen kanssa. Se sisältyy tässä vain tiedoksi.

Uudemmilla välillisillämme ei ole OCSP-URL:a (niiden kumotustiedot toimitetaan sen sijaan CRL:n kautta), joten emme ole myöntäneet OCSP-allekirjoitusvarmennetta ISRG Root X2:lta.

Certificate Transparency

Olemme sitoutuneet toiminnassamme ja myöntämiemme varmenteiden läpinäkyvyyteen. Lähetämme kaikki varmenteet varmenteiden läpinäkyvyyslokeihin sitä mukaa, kun niitä myönnämme. Voit nähdä kaikkia myönnettyjä varmenteita näiden linkkien kautta: