עדכון אחרון: | הצגת כל התיעוד
שו״ת זה מפוצל לסעיפים הבאים:
שאלות כלליות
אילו שירותים מוצעים על ידי Let’s Encrypt?
Let’s Encrypt היא רשות אישורים גלובלית (CA). אנו מאפשרים לאנשים ולארגונים מסביב לעולם, לקבל, לחדש ולנהל אישורי SSL/TLS. אתרים יכולים להשתמש באישורים שלנו כדי להפעיל חיבורי HTTPS מאובטחים.
Let’s Encrypt מציעה אישורי תיקוף שם תחום (DV - Domain Validation). אנו לא מציעים תיקוף ארגון (OV - Organization Validation) או תיקוף מורחב (EV - Extended Validation) בעיקר כיוון שאין לנו אפשרות ליצור אוטומציה להנפקה של אישורים מהסוגים האלו.
כדי להתחיל להשתמש ב־ Let’s Encrypt, נא לבקר בעמוד איך מתחילים שלנו.
כמה עולה להשתמש ב־Let’s Encrypt? זה באמת בחינם?
איננו גובים עמלה על האישורים שלנו. Let’s Encrypt אינה למטרות רווח, המשימה שלנו היא ליצור רשת אינטרנט מאובטחת ומכבדת פרטיות יותר על ידי קידום אימוץ HTTPS על ידי הקהל הרחב. השירותים שלנו הם בחינם וקלים לשימוש כדי שכל אתר יוכל להטמיע HTTPS.
אנו דורשים תרומות מתורמים נדיבים, נותני מענקים ואנשים פרטיים כדי לספק את השירותים שלנו בחינם בכל רחבי העולם. אם מעניין אותך לתמוך בנו, נא לשקול לתרום או לתת חסות.
בחלק מהמקרים, גופים שמשלבים את המוצרים שלנו בשלהם (כמו למשל, ספקי אחסון) ייגבו עמלה סמלית שמשקפת את העלויות התפעוליות והניהוליות שהם נוטלים כדי לספק אישורים של Let’s Encrypt.
איזה סוג של תמיכה מוענקת?
Let’s Encrypt מופעלת על ידי קבוצה קטנה ונסמכת על אוטומציה כדי לשמור על עלויות נמוכות. כיוון שזה המצב, אין לנו אפשרות להציע תמיכה ישירות למנויים שלנו. עם זאת, יש לנו מגוון אפשרויות תמיכה נהדרות:
- יש לנו תיעוד מועיל במיוחד.
- יש לנו פורומים לתמיכה קהילתית שהם מאוד פעילים ומועילים. חברי הקהילה שלנו עושים עבודה נהדרת במענה על שאלות ורבות מן השאלות הנפוצות ביותר כבר נענו.
להלן סרטון שנושא חן בעינינו על הכוח שבתמיכה קהילתית מצוינת.
אתר שמשתמש ב־Let’s Encrypt מעורב בפעילות דיוג/תכנה זדונית/הונאה/… מה לעשות?
אנו ממליצים לדווח על אתרים כאלה ל־Google Safe Browsing (גלישה בטוחה בחסות Google) ולתכנית SmartScreen מבית Microsoft שיכולות להגן על משתמשים בצורה יעילה יותר. הנה הכתובות לדיווח:
- https://safebrowsing.google.com/safebrowsing/report_badware/
- https://www.microsoft.com/en-us/wdsi/support/report-unsafe-site-guest
אם מעניין אותך לקרוא עוד על מסמכי המדיניות שלנו ומה עומד מאחוריהם, ניתן לעשות זאת כאן:
https://letsencrypt.org/2015/10/29/phishing-and-malware.html
שאלות טכניות
האם אישורים מבית Let’s Encrypt נחשבים על ידי הדפדפן שלי למהימנים?
עבור רוב הדפדפנים ומערכות ההפעלה, כן. ניתן לעיין ברשימת התאימות למידע נוסף.
האם ב־Let’s Encrypt מונפקים אישורים לדברים אחרים מלבד SSL/TLS לאתרים?
האישורים של Let’s Encrypt הם אישורי תיקוף שם תחום תקניים, לכן ניתן להשתמש בהם בכל שרת שמשתמש בשם תחום, כגון שרתי אינטרנט, שרתי דוא״ל, שרתי FTP ועוד רבים וטובים.
הצפנת דוא״ל וחתימת קוד דורשים סוגים אחרים של אישורים ש־Let’s Encrypt אינה מנפיקה.
האם Let’s Encrypt מייצרת או מאחסנת את המפתחות הפרטיים לאישורים שלי בשרתים של Let’s Encrypt?
לא. אף פעם לא.
המפתח הפרטי תמיד נוצר ומנוהל על השרתים שלך, לא על ידי רשות האישורים Let’s Encrypt.
מה אורך החיים של אישורים מבית Let’s Encrypt? למשך כמה זמן הם תקפים?
האישורים שלנו תקפים למשך 90 יום. הסיבה לכך מופיעה כאן.
אין דרך לשנות זאת, אין יוצאים מן הכלל. אנו ממליצים לחדש את האישורים שלך אוטומטית כל 60 יום.
האם Let’s Encrypt תנפיק אישורי תיקוף ארגון (OV) או תיקוף מורחב (EV)?
אין לנו תכניות להנפיק אישורי OV או EV.
אוכל לקבל אישור למגוון שמות תחום (אישורי SAN או UCC)?
כאן, אותו האישור יכול להכיל מספר שמות שונים באמצעות מנגנון SAN (שם חלופי לנושא - Subject Alternative Name).
האם Let’s Encrypt מנפיקה אישורים כוללניים?
כן. הנפקת אישורים כוללניים חייבת להתבצע דרך ACMEv2 באמצעות האתגר DNS-01. ברשומה הזאת יש קצת יותר פירוט טכני.
האם יש לקוח של Let’s Encrypt (ACME) למערכת ההפעלה שלי?
יש מספר גדול של לקוחות ACME זמינים. סביר להניח שלפחות אחד מהם עובד נכון על מערכת ההפעלה שלך. אנו ממליצים להתחיל עם Certbot.
אוכל להשתמש במפתח פרטי קיים או בבקשת חתימת אישור (CSR)?
כן, אבל לא כל תכניות צד הלקוח תומכות בתכונה הזאת. Certbot תומך.
ביקשתי אישור ועכשיו האתר שלי סופג המון תעבורה! למה זה קורה?
זה תקין לחלוטין ואף צפוי. במשך תהליך הנפקת האישורים, Let’s Encrypt יוודא שליטה בשם התחום שלך ממגוון היבטי תקשורת רשת. לאחר אימות מוצלח, האישור שלך יוגש למספר יומני שקיפות אישורים (CT). כאן מופיע פירוט נוסף מדוע זה נחוץ. זמן קצר לאחר הגשת האישור לשקיפות האישורים, בוטים שסורקים את שקיפות האישורים יוכלו לגלות את שם התחום שלך ולגשת אליו ולייצר תעבורה נוספת ביומני האתר שלך.
באילו כתובות IP משתמשת Let’s Encrypt כדי לתקף את שרת האינטרנט שלי?
איננו מפרסמים את רשימת כתובות ה־IP בהן אנו משתמשים למטרות תיקוף וכתובות ה־IP האלה עשויות להשתנות בכל עת. רצוי לשים לב שכיום אנו מאמתים דרך מגוון כתובות IP.
חידשתי אישור בהצלחה אך התיקוף לא התרחש כרגע - איך זה יתכן?
לאחר השלמת האתגרים לשם תחום, ההרשאה שמתקבלת נשמרת במטמון של החשבון שלך לשימוש חוזר בעתיד. הרשאות נשמרות למשך 30 יום מרגע התיקוף. אם לאישור שביקשת יש את כל ההרשאות השמורות הנחוצות אז התיקוף לא יתרחש שוב עד לתפוגת תוקף ההרשאות הנוכחיות.
למה על לקוח ה־Let’s Encrypt (ACME) לפעול במועדים אקראיים?
אנו מבקשים שלקוחות ACME יבצעו חידושים שגרתיים במועדים אקראיים כדי להימנע מזינוקים קצרי מועד בזמנים קבועים ביום כמו למשל בדיוק בחצות לפי השעון האוניברסלי המתואם או השנייה הראשונה של כל שעה או דקה. כאשר השירות עמוס מדי, הלקוחות יתבקשו לנסות שוב מאוחר יותר, כך שפיזור אקראי של זמני החידוש יכול לסייע במניעת ניסיונות מיותרים מחדש.
איפה אפשר ללמוד עוד על TLS/SSL ועל PKI באופן כללי?
חוקר ומיישם אבטחת המידע, איוון ריסטיץ׳, פרסם מדריך הגדרות שמספק מידע חיוני על מה כדאי להתמקד בעת הגדרת ה־TLS שלך.
לרקע נרחב יותר ופירוט עמוק יותר, אנו ממליצים על TLS ו־PKI חסינים לגמרי, שגם כן נכתב על ידי ריסטיץ׳.