100% of our funding comes from people like you. Donate today.

שרשראות אמון

עדכון אחרון:

העמוד הזה מתאר את המצב הנוכחי ואת ההיסטוריה המתאימה של רשויות אישורים שמופעלים על ידי Let’s Encrypt. נא לשים לב שנהוג לחשוב על רשות אישורים בדרך כלל כעל מפתח ושם: כל רשות אישורים יכולה להיות מיוצגת על ידי מגוון אישורים שכולם מכילים את אותו הנושא ואת אותם פרטי המפתח הציבורי. במקרים כאלה, סיפקנו את פרטי כל האישורים שמייצגים את רשות האישורים.

תרשים היררכיית אישורי ISRG, נכון ליוני 2024

רשויות אישורים עליונות

חומר מפתח העל שלנו נשמר בצורה מאובטחת ללא חיבור לאינטרנט. אנו מנפיקים אישורי יישויות קצה למנויים מהמתווכים שמתוארים בסעיף הבא. לכל נושאי (Subjects) אישורי העל שדה המדינה (Country) מוגדר בתור C = US.

נא לשים לב שלרשויות אישורים עליונות אין תאריכי תפוגה באותו האופן אמו אישורים אחרים. למרות שהאישורים שלהם שנחתמו עצמאית מכילים תאריך notAfter (לא אחרי), תוכניות על ומאגרי אמון יכולים להחליט האם הם בוטחים ברשות אישורים מעבר לתאריך הזה או קוטעים את האמון לפני התאריך הזה. מעצם היותם, תאריכי סוף התוקף שסופקו להלן הם משוערכים, בהתאם למדיניות תוכנית אישור העל הנוכחית.

לפרטים נוספים על תאימות אישורי העל שלנו מול מגוון מכשירים ומאגרי אמון, יש לפנות אל תאימות האישורים.

רשויות אישורים כפופות (ביניים)

אנחנו כרגע מתחזקים את אישורי הביניים שלנו בסבב פעיל. אישורי מנויים שמכילים אישורי ECDSA יונפקו מאחד מאישורי התווך מסוג ECDSA, בדומה, אישורי מנויים שמכילים מפתח ציבורי מסוג RSA יונפקו מאחד מאישורי התווך מסוג RSA.

לכל נושאי (Subjects) אישורי הביניים שדה המדינה (Country) מוגדר בתור C = US.

לחיצה להלן תציג פרטים על אישורי תווך נוספים שאינם חלק משושלת ההנפקה הפעילה:

גיבוי

לרשויות אישורי הביניים האלה יש אישורים שתקפים כרגע, אך לא מתבצעת מהם הנפקה עוד. אנו עשויים להתחיל להנפיק אישורי מנויים מהם בכל זמן נתון, ללא אזהרה.

  • Let’s Encrypt E7
    • נושא: O = Let's Encrypt,‏ CN = E7
    • סוג מפתח: ECDSA P-384
    • תוקף: עד 2027-03-12
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X2): der,‏ pem,‏ txt
    • פרטי אישור (חתימה צולבת על ידי ISRG Root X1): der,‏ pem,‏ txt
  • Let’s Encrypt E8
    • נושא: O = Let's Encrypt,‏ CN = E8
    • סוג מפתח: ECDSA P-384
    • תוקף: עד 2027-03-12
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X2): der,‏ pem,‏ txt
    • פרטי אישור (חתימה צולבת על ידי ISRG Root X1): der,‏ pem,‏ txt
  • Let’s Encrypt E9
    • נושא: O = Let's Encrypt,‏ CN = E9
    • סוג מפתח: ECDSA P-384
    • תוקף: עד 2027-03-12
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X2): der,‏ pem,‏ txt
    • פרטי אישור (חתימה צולבת על ידי ISRG Root X1): der,‏ pem,‏ txt
  • Let’s Encrypt R12
    • נושא: O = Let's Encrypt,‏ CN = R12
    • סוג מפתח: RSA 2048
    • תוקף: עד 2027-03-12
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X1): der,‏ pem,‏ txt
  • Let’s Encrypt R13
    • נושא: O = Let's Encrypt,‏ CN = R13
    • סוג מפתח: RSA 2048
    • תוקף: עד 2027-03-12
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X1): der,‏ pem,‏ txt
  • Let’s Encrypt R14
    • נושא: O = Let's Encrypt,‏ CN = R14
    • סוג מפתח: RSA 2048
    • תוקף: עד 2027-03-12
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X1): der,‏ pem,‏ txt
בדימוס

רשויות אישורי הביניים האלה לא משמשות עוד להנפקת אישורי מנויים. לאלו שעדיין יש להם אישורים תקפים יכולים להפיק תגובות OCSP (פרוטוקול מצב אישורים מקוון) ו/או CRLs (רשימות שלילת אישורים).

  • Let’s Encrypt E1
    • נושא: O = Let's Encrypt,‏ CN = E1
    • סוג מפתח: ECDSA P-384
    • תוקף: עד 2025-09-15
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X2): crt.sh,‏ der,‏ pem,‏ txt
  • Let’s Encrypt E2
    • נושא: O = Let's Encrypt,‏ CN = E2
    • סוג מפתח: ECDSA P-384
    • תוקף: עד 2025-09-15
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישורים (נחתם על ידי ISRG Root X2): crt.sh,‏ der,‏ pem,‏ txt
  • Let’s Encrypt R3
    • נושא: O = Let's Encrypt,‏ CN = R3
    • סוג מפתח: RSA 2048
    • תוקף: עד 2025-09-15
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
    • פרטי אישור (חתימה צולבת על ידי IdenTrust): crt.sh,‏ der,‏ pem,‏ txt
  • Let’s Encrypt R4
    • נושא: O = Let's Encrypt,‏ CN = R4
    • סוג מפתח: RSA 2048
    • תוקף: עד 2025-09-15
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
    • פרטי אישור (חתימה צולבת על ידי IdenTrust): crt.sh,‏ der,‏ pem,‏ txt
  • רשות Let’s Encrypt X1
    • נושא: O = Let's Encrypt,‏ CN = Let's Encrypt Authority X1
    • סוג מפתח: RSA 2048
    • תוקף: פג ב־2020-06-04
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
    • פרטי אישור (חתימה צולבת על ידי IdenTrust): crt.sh,‏ der,‏ pem,‏ txt
  • רשות Let’s Encrypt X2
    • נושא: O = Let's Encrypt,‏ CN = Let's Encrypt Authority X2
    • סוג מפתח: RSA 2048
    • תוקף: פג ב־2020-06-04
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
    • פרטי אישור (חתימה צולבת על ידי IdenTrust): crt.sh,‏ der,‏ pem,‏ txt
  • רשות Let’s Encrypt X3
    • נושא: O = Let's Encrypt,‏ CN = Let's Encrypt Authority X3
    • סוג מפתח: RSA 2048
    • תוקף: פג ב־2021-10-06
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
    • פרטי אישור (חתימה צולבת על ידי IdenTrust): crt.sh,‏ der,‏ pem,‏ txt
  • רשות Let’s Encrypt X4
    • נושא: O = Let's Encrypt,‏ CN = Let's Encrypt Authority X4
    • סוג מפתח: RSA 2048
    • תוקף: פג ב־2021-10-06
    • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
    • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
    • פרטי אישור (חתימה צולבת על ידי IdenTrust): crt.sh,‏ der,‏ pem,‏ txt
מגיב OCSP (פרוטוקול מצב אישורים מקוון) מיופה כוח

צמד מפתחות זה שימש בעבר לחתום על בקשות OCSP בנוגע למצב אישורי הביניים של Let’s Encrypt מטעם אישור העל של Let’s Encrypt כך שניתן יהיה לשמור על מפתח העל באופן מאובטח בניתוק מוחלט מהאינטרנט. איננו מנפיקים עוד תגובות OCSP לאישורי הביניים שלנו, במקום אנו מנפיקים רשימות שלילה מאישור העל שלנו כדי למסור את מצב שלילת אישורי הביניים.

  • ISRG Root OCSP X1
    • נושא: O = Internet Security Research Group,‏ CN = ISRG Root OCSP X1
    • סוג מפתח: RSA 2048
    • תוקף: עד 2025-06-10
    • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
    • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh (התוקף פג)

שרשראות

כאשר לקוח ACME מוריד אישור חדש שהונפק מה־ACME API של Let’s Encrypt, האישור הזה הופך להיות חלק מה„שרשרת” שכוללת גם אישור תווך אחד או יותר. בדרך כלל השרשרת הזאת מורכבת מאישורי ישות הקצה ואישור ביניים אחד בלבד, אבל היא יכולה להכיל עוד אישורי ביניים. הרעיון הוא שעל ידי הצגת כל שרשרת האישורים האת לדפדפן המבקרים באתר, הדפדפן יוכל לאמת את החתימות כל הדרך עד לשורש שהדפדפן הזה סומך עליו מבלי להוריד אישורי ביניים נוספים.

לפעמים יש יותר משרשרת אחת תקפה לאישור מסוים: למשל, אם אישור תווך נחתם באופן צולב, אז כל אחד משני האישורים האלה יכול להיות הרשומה השנייה, „משתרשר עד” כל אחד משני המקורות השונים. במקרה כזה, מפעילי אתרים שונים יכולים לבחור בשרשראות שונות כתלות במאפיינים שהכי חשובים להם.

אישורי מנויים עם מפתחות RSA ציבוריים מונפקים מאישורי RSA הביניים שלנו, שמונפקים רק מאישור RSA העל שלנו ISRG Root X1 (כלומר הם אינם חתומים באופן צולב). לכן, לכל אישורי המנויים מסוג RSA יש רק שרשרת אחת זמינה:

אישור מנוי RSA → RSA ביניים (R10 או R11) → ISRG Root X1

אישורי מנויים עם מפתחות ECDSA ציבוריים מונפקים מאישורי ה־ECDSA שלנו, שמונפקים שניהם (כלומר נחתמים באופן צולב) מ־ISRG Root X1 העל ב־RSA ומ־ISRG Root X2 העל ב־ECDSA שלנו. לכן אנחנו מציעים שתי שרשראות לאישורים האלה:

אישור מנוי ECDSA → ECDSA ביניים (E5 או E6) → ISRG Root X1

אישור מנוי ECDSA → ECDSA ביניים (E5 או E6) → ISRG Root X2

השרשרת הראשונה, עד ISRG Root X1 מספקת את התאימות הטובה ביותר כיוון שהאישור העליון כלול ברוב אחסוני האמון. השרשרת השנייה, עד ISRG Root X2, צורכת פחות בתים בתעבורת רשת לכל לחיצת יד של TLS. אנו מספקים את השרשרת הראשונה כברירת מחדל, כדי להבטיח את התאימות המרבית. מנויים שרוצים לתעדף גודל על פני תאימות יכולים לפנות לתיעוד של לקוח ה־ACME שלהם לקבלת הנחיות איך לבקש את השרשרת החלופית (למשל, דגלון ‎--preferred-chain של certbot).